Raspršivanje lozinki je vrsta napada grubom silom gdje napadač pokušava pristupiti višestrukim korisničkim nalozima isprobavajući mali broj uobičajenih lozinki za mnogo korisničkih imena.
Ova metoda je korisna jer izbjegava pokretanje blokade računa koja se obično događa kada se pokuša više neispravnih lozinki na jednom računu.
Microsoft Threat Intelligence tim je nedavno otkrio da kineski hakeri aktivno napadaju Microsoftove klijente sofisticiranim napadima sprejom lozinkom.
Kineski hakeri napadaju Microsoft kupce
Od “avgusta 2023.” kineski hakeri nazvani “Oluja-0940” usmjeravaju sofisticirane sajber napade koristeći mrežu narušenih SOHO rutera TP-Link-a.
Sve ovo se zajednički naziva “CovertNetwork-1658” (aka ‘xlogin’ i ‘Quad7’).
Ova mreža radi iskorištavanjem ranjivosti rutera za dobijanje RCE mogućnosti nakon čega hakeri instaliraju specifične alate kao što su “Telnet binary”, “xlogin backdoor” i “SOCKS5 server” koji rade na TCP portovima ‘7777’ i ‘11288.’
Hakeri koriste tehniku vrlo izbjegavanja koja se zove ” napadi sprejom lozinkom “, gdje čine minimalne pokušaje prijave na više naloga kako bi izbjegli otkrivanje, koristeći hiljade “rotirajućih IP adresa” s prosječnim vremenom rada od “90 dana”.
Ovi narušeni akreditivi su zatim korišteni za ciljanje različitih organizacija visokog profila širom “Sjeverne Amerike” i “Evrope”.
Organizacije su kao:-
- Državni organi
- Think tanks
- NVO
- Advokatske firme
- Odbrambene industrijske baze
Nakon izlaganja javnosti od strane proizvođača sigurnosti kao što su “Sekoia” i “Team Cymru” sredinom 2024. godine, upotreba originalne infrastrukture je značajno opala.
Međutim, Microsoft procjenjuje da hakeri vjerovatno prilagođavaju svoju infrastrukturu “modificiranim otiscima prstiju” kako bi nastavili svoje operacije.
Microsoftovo sigurnosno praćenje identifikovalo je sofisticiranu mrežu cyber prijetnji pod nazivom “CovertNetwork-1658”, koja dosljedno održava kontrolu nad 8.000 narušenih računara, pri čemu otprilike 20% ovih uređaja istovremeno provodi napade lozinkom.
Mrežnu infrastrukturu koriste kineski hakeri “Oluja-0940”, koji demonstriraju alarmantno efikasnu operaciju gdje se narušeni akreditivi eksploatišu istog dana nakon krađe.
Ovdje su hakeri koristili specifične identifikatore pretraživača (Strings korisničkog agenta), uključujući “Mozilla/5.0” za Windows 10 sisteme sa pretraživačima “Chrome” i “Internet Explorer” za sprovođenje svojih napada.
Kada Storm-0940 dobije početni pristup mreži ciljne organizacije koristeći ove ukradene kredencijale, oni koriste sistematski pristup: –
- Prvo upotrijebite alate za izbacivanje kredencijala za bočno pomicanje.
- Zatim instalirajte proxy alate i trojance za daljinski pristup kako biste održali trajni pristup.
- Konačno, pokušajte eksfiltrirati osjetljive podatke iz ugroženih organizacija.
Ovo utiče na „više sektora“ i „geografske regione na globalnom nivou“.
Preporuke
U nastavku smo naveli sve preporuke:-
- Educirajte o higijeni akreditiva i izbjegavanju ponovne upotrebe lozinke.
- Sprovesti MFA svuda; ukloniti isključenja.
- Prelazak na bez lozinke.
- Bezbedni RDP i virtuelni desktopi sa MFA.
- Omogućite opcije bez lozinke gdje su podržane.
- Onemogućite naslijeđenu autentifikaciju.
- Koristite sigurnost identiteta u oblaku za otkrivanje prijetnji.
- Onemogućite nekorištene račune.
- Resetujte lozinke za ciljane naloge.
- Primijenite Azure Security Benchmark za sigurnost identiteta.
- Postavite politike uvjetnog pristupa.
- Blokirajte naslijeđenu autentifikaciju putem Azure AD.
- Omogućite zaključavanje ekstraneta za odbranu od grube sile.
- Koristite najmanje privilegije i privilegovane račune revizije.
- Uvedite ADFS nadgledanje uz Azure AD Connect Health.
- Blokirajte slabe lozinke uz Azure AD zaštitu.
- Omogućite zaštitu identiteta za praćenje rizika.
- Obučite korisnike o phishing-u i zamoru MFA.
- Pregledajte Defender politike otkrivanja anomalija.
Izvor: CyberSecurityNews