Asurgent cybersäkerhetsblogg: Massivt Botnet Riktar in sig på Microsoft 365-konton

Ett omfattande botnet med över 130 000 enheter genomför en lösenordsspraysattack mot Microsoft 365-konton genom att utnyttja non-interactive sign-ins. Denna autentiseringsmetod förbises ofta av säkerhetsteam, vilket gör det möjligt att genomföra storskaliga attacker utan att väcka misstankar. Non-interactive inloggningar används ofta av tjänstekonton, automatiserade processer och API-integrationer, vilket gör dem vanliga inom Microsoft 365-miljöer. Traditionella lösenordsspraysattacker kan orsaka kontolåsningar och upptäckas av säkerhetsteam, men denna metod ger angriparna mer tid att infiltrera systemen utan att larm aktiveras.

Botnätet använder autentiseringsuppgifter som tidigare har stulits och testar dem mot Microsoft 365-konton. Attackerna förlitar sig på non-interactive sign-ins med Basic Authentication (Basic Auth) för att kringgå Multi-Factor Authentication (MFA) och få obehörig åtkomst utan att säkerhetslarm utlöses. Basic Auth är en föråldrad autentiseringsmetod och saknar moderna säkerhetsfunktioner såsom MFA och tokenbaserad autentisering. Microsoft planerar att avveckla Basic Auth till förmån för OAuth 2.0 i september 2025, efter att redan ha inaktiverat den för de flesta Microsoft 365-tjänster.

Organisationer som enbart övervakar interaktiva inloggningar är blinda för dessa attacker. Non-interactive sign-ins, som ofta används för tjänst-till-tjänst-autentisering, äldre protokoll (t.ex. POP, IMAP, SMTP) och automatiserade processer, utlöser inte MFA i många konfigurationer.

Forskare har observerat attacker mot flera Microsoft 365-klienter globalt och uppmanar organisationer att granska sina loggar samt byta ut autentiseringsuppgifter för påverkade konton. Konsekvenserna av dessa attacker inkluderar kontokapningar, affärsstörningar, lateral rörelse inom nätverk och möjligheten att kringgå multifaktorautentisering (MFA) och Conditional Access Policies (CAP) i vissa fall. Experter betonar vikten av att implementera Privileged Access Management (PAM), använda starka och unika lösenord samt kontinuerligt övervaka autentiseringsvägar.

Hotaktören misstänks vara anknuten till en kinesisk grupp, men detta är ännu inte bekräftat. Angriparna siktar in sig på Microsoft 365-konton. Främst organisationer inom finans- och försäkringssektorn. Dock är även vård, offentlig sektor och försvar, teknik och SaaS samt utbildning och forskning stora mål.

Rekommendationer för säkrare Microsoft 365-miljöer: 

• Implementera strikt MFA och avveckla Basic Authentication: Aktivera multifaktorautentisering för alla konton och övergå till moderna autentiseringsmetoder.

• Granska non-interactive inloggningsloggar: Övervaka loggar för icke-interaktiva inloggningar för att upptäcka obehöriga åtkomstförsök.
• Inaktivera äldre protokoll: Stäng av föråldrade protokoll som POP, IMAP och SMTP när de inte behövs för att minska sårbarheter.
• Implementera villkorade åtkomstpolicyer (Conditional Access Policies CAP): Konfigurera detaljerade åtkomstregler baserade på användarens identitet, enhet och plats för att stärka säkerheten.
• Rotera lösenord och övervaka stulna autentiseringsuppgifter: Byt ut lösenord för påverkade konton och håll koll på om organisationens inloggningsuppgifter dyker upp i dataintrång eller på darknet.

https://www.darkreading.com/cyberattacks-data-breaches/microsoft-365-accounts-sprayed-mega-botnet

https://www.securityweek.com/chinese-botnet-powered-by-130000-devices-targets-microsoft-365-accounts/