微軟安全報告稱美國多家國防公司被盯上 攻擊者疑似來自伊朗
數日前,微軟發佈了年度《Digital Defense Report》,指出對政府最大的數字威脅主要來自俄羅斯、朝鮮、伊朗等國家。 今天,這家科技巨頭再次發佈了一份諮詢報告,稱多家參與國防的美國公司正被一個與伊朗有關的威脅行為者盯上。
圖片來自於微軟
微軟發現的最新惡意活動集群目前被稱為 DEV-0343。 該公司將這一命名方式分配給一個發展中的集群,其身份尚未得到確認。 一旦對他們的身份達到足夠高的信任度,這個ID就會被改變為一個被命名的威脅行為者的ID。
截至目前,DEV-0343 的目標似乎是美國和以色列的國防公司、在中東有業務的全球海上運輸公司以及波斯灣的入境港口。 它的攻擊方法包括對Office 365 訂閱使用者進行密碼噴洒(Password Spraying),這顯然意味著具有多因素認證(MFA)的帳戶對它有彈性。 微軟表示,超過 250 個訂閱使用者成為攻擊目標,但只有不到 20 個租戶被成功入侵。 目前受影響的客戶已經被告知。
微軟將這一活動與伊朗聯繫起來的一些理由如下。
根據生活模式分析,這一活動可能支援伊朗伊斯蘭共和國的國家利益,與伊朗行為者在地理和部門目標上的廣泛交叉,以及與源自伊朗的另一行為者在技術和目標上的一致性。
微軟公司評估說,這種目標定位支援伊朗政府跟蹤對手的安全服務和中東地區的海上航運,以加強他們的應急計劃。 獲得商業衛星圖像和專有的航運計劃和日誌可以説明伊朗彌補其發展中的衛星計劃。
鑒於伊朗過去對航運和海上目標的網路和軍事攻擊,微軟認為這一活動增加了這些行業的公司的風險,微軟鼓勵這些行業和地理區域的客戶審查本博客中分享的資訊,以防禦這一威脅。
微軟強調,DEV-0343 已經繼續發展,並使用 Tor IP 位址來隱藏其運營基礎設施。 微軟建議企業注意在UTC時間4:00:00至11:00:00之間來自類比Firefox或Chrome瀏覽器的 Tor IPs 的大量入站流量,列舉 Exchange ActiveSync 或 Autodiscover 端點,使用後者來驗證帳戶和密碼,以及利用密碼噴霧工具,如 o365spray。
微軟建議客戶也使用 MFA 和無密碼解決方案,如Microsoft Authenticator,審查Exchange Online訪問策略,並盡可能阻止來自匿名服務的流量。 該公司還為Microsoft 365 Defender和Azure Sentinel列出了一些狩獵查詢,客戶可以利用它們來檢測惡意活動。 你可以在這裡查看它們。