Компания SecurityScorecard сообщила, что большая сеть ботов, состоящая из более чем 130 000 скомпрометированных устройств, атакует учетные записи Microsoft 365 по всему миру. Злоумышленники используют метод подбора паролей для обхода механизма аутентификации Basic Authentication и получения доступа без многофакторной аутентификации.
Киберпреступники используют украденные учетные данные для атаки. Они делают неинтерактивные попытки входа с помощью Basic Auth, чтобы обойти систему безопасности.
Эксперты предупреждают, что компании, которые полагаются только на мониторинг интерактивных входов, остаются уязвимыми. Неинтерактивные входы, особенно используемые для сервисных подключений и устаревших протоколов, часто не требуют многофакторной аутентификации. Хотя Microsoft постепенно отказывается от Basic Auth, некоторые компании все еще используют этот метод, делая их целью для атак.
Basic Auth используется для перебора учетных записей с утекшими или слабыми паролями. Если пароль подобран успешно, MFA не активируется, что позволяет хакерам получить доступ без дополнительного подтверждения. Это также обходит политики условного доступа, делая атаку незаметной.
После компрометации учетных данных злоумышленники могут получить доступ к устаревшим сервисам или использовать данные для дальнейших атак. Признаки атаки могут быть обнаружены в логах Entra ID.
Исследователи предполагают, что ботнет может быть связан с группировками из Китая. Атака усложняется из-за использования большого количества IP-адресов.
Специалисты рекомендуют компаниям отключить Basic Authentication в Microsoft 365, заблокировать указанные IP-адреса и включить многофакторную аутентификацию. Также необходимо отслеживать подозрительные попытки входа.
© KiberSec.ru – 01.04.2025, обновлено 01.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
