研究人員發(fā)現(xiàn)了一個(gè)名為DEV-0343的網(wǎng)絡(luò)組織攻擊了美國(guó)和以色列的國(guó)防技術(shù)公司、波斯灣的入境港口以及與中東有關(guān)的全球海上運(yùn)輸公司。該威脅組織的攻擊方式主要是接管微軟Office 365賬戶(hù)。

　　微軟在2021年7月底開(kāi)始追蹤這些攻擊活動(dòng)，并在發(fā)布的一份警報(bào)中詳細(xì)介紹了這些攻擊手法，并補(bǔ)充說(shuō)，該罪犯似乎一直在從事網(wǎng)絡(luò)間諜活動(dòng)，同時(shí)該組織與伊朗有聯(lián)系，并且網(wǎng)絡(luò)攻擊者正在對(duì)Office 365賬戶(hù)進(jìn)行大面積的密碼噴灑攻擊。

　　密碼噴灑攻擊是針對(duì)在線賬戶(hù)使用大量用戶(hù)名和一系列不同密碼進(jìn)行攻擊的過(guò)程，攻擊者希望找到正確的密碼并獲得對(duì)受密碼保護(hù)賬戶(hù)的訪問(wèn)權(quán)限。微軟表示，在這種情況下，攻擊者通常會(huì)對(duì)每個(gè)目標(biāo)組織內(nèi)的幾十個(gè)到幾百個(gè)賬戶(hù)進(jìn)行攻擊，并且會(huì)對(duì)每個(gè)賬戶(hù)嘗試數(shù)千個(gè)憑證組合。

　　據(jù)該公司稱(chēng)，到目前為止，該活動(dòng)已對(duì)大約250個(gè)使用微軟云辦公套件的組織進(jìn)行了攻擊，其中有將近20個(gè)組織受到了影響。然而，該計(jì)算巨頭警告說(shuō)，DEV-0343在繼續(xù)完善他們的攻擊技術(shù)。

　　據(jù)分析，目前發(fā)現(xiàn)的攻擊源使用的是一個(gè)Firefox或Chrome瀏覽器，并在Tor代理網(wǎng)絡(luò)上使用輪換的IP地址進(jìn)行攻擊。微軟說(shuō)，平均下來(lái)，每次攻擊都會(huì)使用150到1000個(gè)獨(dú)立的IP地址，攻擊者這樣做是為了混淆攻擊的來(lái)源，增加攻擊溯源的難度。

　　研究人員說(shuō)，每次進(jìn)行密碼爆破攻擊都改變IP地址正在成為威脅集團(tuán)中的一個(gè)很常見(jiàn)的攻擊技術(shù)，通常情況下，威脅集團(tuán)會(huì)隨機(jī)使用他們用戶(hù)代理以及IP地址進(jìn)行攻擊。由于現(xiàn)在出現(xiàn)的提供大量住宅IP地址的服務(wù)使得該技術(shù)很容易實(shí)現(xiàn)。而這些服務(wù)往往是通過(guò)瀏覽器插件來(lái)啟用的。

　　使用這種代理地址使得開(kāi)發(fā)指標(biāo)或IoCs變得非常困難，但微軟在攻擊中觀察到的攻擊模式還包括：

　　1、來(lái)自Tor IP地址的大量入站流量用于密碼噴射攻擊活動(dòng)

　　2、在密碼噴灑活動(dòng)中模擬FireFox（最常見(jiàn)）或Chrome瀏覽器

　　3、枚舉Exchange ActiveSync（最常見(jiàn)）或Autodiscover端點(diǎn)

　　4、使用類(lèi)似于“o365spray ”工具的枚舉/密碼噴射工具

　　5、使用Autodiscover來(lái)驗(yàn)證賬戶(hù)和密碼

　　攻擊者通常會(huì)針對(duì)兩個(gè)Exchange端點(diǎn)--Autodiscover和ActiveSync來(lái)進(jìn)行他們的枚舉/密碼噴灑攻擊。據(jù)微軟稱(chēng)，這使得DEV-0343能夠很容易驗(yàn)證活動(dòng)賬戶(hù)和密碼，并進(jìn)一步完善他們的密碼噴灑攻擊活動(dòng)。

　　據(jù)稱(chēng)與伊朗有關(guān)

　　該集團(tuán)使用的帶有 “DEV ”的名稱(chēng)只是微軟臨時(shí)指定的名稱(chēng)，它代表著一個(gè)在不斷壯大的攻擊活動(dòng)群體。在對(duì)攻擊者有了更多了解后，微軟將會(huì)給它取一個(gè)永久性的名字。

　　但目前，有證據(jù)表明攻擊者是伊朗人。例如，微軟說(shuō)，他們會(huì)專(zhuān)門(mén)針對(duì)制造軍用級(jí)雷達(dá)、無(wú)人機(jī)技術(shù)、衛(wèi)星系統(tǒng)、應(yīng)急通信系統(tǒng)、地理信息系統(tǒng)（GIS）和空間分析的公司，以及港口和運(yùn)輸公司進(jìn)行攻擊。微軟表示，這與伊朗以前對(duì)航運(yùn)和海上目標(biāo)的攻擊的特點(diǎn)基本吻合。

　　該公司指出，根據(jù)攻擊模式分析，這一威脅集團(tuán)可能一直在支持伊朗伊斯蘭共和國(guó)的國(guó)家利益，并且該模式與來(lái)自伊朗的另一個(gè)攻擊者在技術(shù)上非常相似。

　　另外，該組織在伊朗當(dāng)?shù)貢r(shí)間周日至周四上午7:30至晚上8:30之間最為活躍，微軟公司也在上午7:30至下午2:30之間觀察到了密碼噴射攻擊的高峰。

　　如何防止office 365被攻擊

　　為了防止密碼噴射攻擊，微軟建議用戶(hù)首先要啟用多因素認(rèn)證。或者使用其他防御策略來(lái)保護(hù)賬戶(hù)，比如像Microsoft Authenticator這樣的無(wú)密碼解決方案；審查Exchange Online訪問(wèn)策略；阻止ActiveSync客戶(hù)端繞過(guò)條件訪問(wèn)策略；并盡可能阻止來(lái)自匿名服務(wù)的所有傳入流量。