APT組織瞄準美國和以色列國防公司的Office 365用戶

微軟報告發現了一個惡意活動組織，其目標是攻擊美國和以色列的國防技術公司的Office 365用戶。

10月11日消息，微軟威脅情報中心（MSTIC）和微軟數字安全部（DSU）的研究人員發現了一個惡意活動集群，被追蹤為DEV-0343，其目標是美國和以色列國防技術公司的Office 365用戶。

微軟稱，不到20個Office 365用戶被入侵

研究人員稱DEV-0343團伙與伊朗相關，主要瞄準美國、歐盟和以色列政府合作的國防公司，如生產軍事級雷達、無人機技術、衛生系統和應急通信系統的國防公司。

微軟威脅情報中心在2021年7月下旬首次觀察到DEV-0343并開始追蹤。DEV-0343對250多個Office 365用戶進行大范圍密碼噴射，主要瞄準美國和以色列的國防技術公司、波斯灣港口或在中東有業務的全球海運和貨運公司。

“只有不到20個Office 365用戶被入侵，但DEV-0343仍然在不斷改進技術以提高攻擊完成度。”微軟表示，啟用了多因素認證（MFA）的Office 365帳戶則未被密碼噴射攻擊攻破。

微軟研究人員表示，該團伙的活動與伊朗方面的利益相一致，其TTP與另一個與伊朗相關的網絡組織活動相似。

研究人員推測，攻擊者目的是獲得商業衛星圖像

研究人員推測，攻擊者目的是獲得商業衛星圖像和航運計劃日志。DEV-0343攻擊者還利用一系列精心設計的Tor IP地址來混淆其攻擊行為和基礎設施。

“DEV-0343模擬火狐瀏覽器，使用托管在Tor代理網絡上的IP進行大范圍密碼噴射。攻擊者在伊朗時間周日和周四上午7:30至晚上8:30（UTC+3.5）之間最為活躍。他們通常針對組織內的數十到數百個帳戶，并對每個帳戶進行數十到數千次的枚舉。平均而言，針對每個組織的攻擊使用了150至1000多個Tor代理IP地址。”

報告稱，“DEV-0343攻擊者通常針對兩個Exchange端點：Autodiscover和ActiveSync，將這兩個端點作為枚舉和密碼噴灑的工具，驗證活躍賬戶和密碼，并進一步完善其密碼噴射攻擊。”

微軟稱已通知被針對或受到攻擊的用戶，為他們提供了保護其賬戶所需的信息。

微軟建議企業自查日志中有無以下活動，以確定其基礎設施是否被攻擊：

來自Tor IP地址的密碼攻擊流量

在密碼噴射活動中模擬FireFox（最常見）或Chrome瀏覽器

枚舉Exchange ActiveSync（最常見）或Autodiscover端點

使用類似于 “o365spray “工具的枚舉/密碼噴射工具

使用Autodiscover來驗證賬戶和密碼

觀察到的密碼噴灑活動通常在UTC 4:00:00和11:00:00之間達到高峰

以下是微軟分享的緩解DEV-0343攻擊的防御措施：

啟用多因素認證，以減少憑證泄露。

Office 365用戶，請參閱多因素認證支持。

對于消費者和個人電子郵件賬戶，請參閱如何使用兩步驗證。

微軟鼓勵所有客戶下載和使用無密碼解決方案。

審查并執行建議的Exchange Online訪問策略。

阻止ActiveSync繞過有條件訪問策略。

盡可能阻止來自匿名服務的所有傳入流量。

參考鏈接：

https://securityaffairs.co/wordpress/123219/apt/dev-0343-apt-campaing.html