به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بر اساس گزارش شرکت سکیوریتی اسکورکارد (SecurityScorecard)، مهاجمان از یک باتنت متشکل از ۱۳۰ هزار دستگاه آلوده برای اجرای حملات گسترده "password spraying" علیه تنظیمات مایکروسافت365 که هنوز از ورودهای غیرتعاملی (non-interactive sign-ins) با احراز هویت پایه (Basic Authentication) استفاده میکنند، بهره میبرند.
ورودهای غیرتعاملی زمانی اتفاق میافتند که کاربر بهطور خودکار به سرویسهایی متصل میشود که قبلاً با ذخیره شدن اطلاعات ورود، احراز هویت شدهاند.
در برخی از محیطهای مایکروسافت 365، این نوع ورودها با استفاده از احراز هویت پایه (یعنی فقط یک نام کاربری و رمز عبور ذخیرهشده) انجام میشوند.
این همان نقطهای است که باتنت وارد عمل میشود.
این بدافزار، اطلاعات ورود سرقتشده از منابع دیگر را در مقیاس بالا علیه سیستمهای آسیبپذیر مایکروسافت 365 امتحان میکند تا به حسابها نفوذ کند.
مایکروسافت در تلاش است تا قابلیت احراز هویت پایه را برای فناوریهای مختلف حذف کند، اما این قابلیت هنوز برای استاندارد SMTP ایمیل تا سپتامبر سال جاری فعال خواهد بود.
به گفته سکیوریتی اسکورکارد، این تکنیک به مهاجمان اجازه میدهد تا مکانیزمهای احراز هویت مدرن را دور بزنند، از سیاستهای احراز هویت چندعاملی فرار کنند و یک نقطه کور امنیتی جدی برای تیمهای امنیتی ایجاد کنند.
محققان از تیمهای امنیتی خواستهاند که به گزارشهای ورود غیرتعاملی (non-interactive sign-in logs) که معمولاً نادیده گرفته میشوند، توجه ویژهای داشته باشند.
در صورت شناسایی فعالیت مشکوک، مدیران باید فوراً اطلاعات ورود حسابهای سازمانی را تغییر دهند.
این گزارش حمله را به گروههای مرتبط با چین نسبت میدهد، زیرا فعالیتهایی مرتبط با سرویسهای ابری مستقر در چین مشاهده شده است.
با این حال، بررسیهای بیشتر برای تعیین عامل دقیق حمله همچنان ادامه دارد.
