Hiện tại, một mạng botnet đang nhắm vào Microsoft. Theo các nhà nghiên cứu tại SecurityScorecard, một mạng lưới gồm hơn 130.000 thiết bị bị xâm phạm đang triển khai các cuộc tấn công vào các tài khoản Microsoft 365 trên toàn thế giới. Các cuộc tấn công được phân phối trên nhiều địa chỉ IP khác nhau. Biện pháp phòng ngừa này cho phép tin tặc tránh kích hoạt cảnh báo bảo mật.
Hoạt động từ tháng 12 năm 2024, mạng botnet này điều phối các cuộc tấn công được gọi là phun mật khẩu. Kiểu tấn công này bao gồm việc thử nhiều mật khẩu thường dùng trên nhiều tài khoản cùng lúc. Bằng cách nhân lên nhiều lần thử đăng nhập, tội phạm mạng thường tìm ra đúng tổ hợp.
Để nâng cao hiệu quả trong các cuộc tấn công, botnet dựa vào các mã định danh bị đánh cắp từ nguồn bởi virus đánh cắp thông tin (hoặc trình đánh cắp thông tin). Loại phần mềm độc hại này ngày càng được tin tặc khai thác, được thiết kế riêng để thu thập và đánh cắp dữ liệu cá nhân của người dùng Internet, bao gồm tên người dùng và mật khẩu. Tóm lại, botnet đang thử nghiệm các kết hợp đã bị xâm phạm để xem liệu chúng có thể mở khóa tài khoản Microsoft 365 hay không.
Botnet cố gắng truy cập tài khoản Microsoft bằng phương pháp xác thực đơn giản, biết mật khẩu truyền thống và tránh xác thực đa yếu tố. Để vượt qua hệ thống xác thực hai yếu tố, tin tặc đã tìm ra một mẹo.
Một số tổ chức không có phương tiện để phát hiện các cuộc tấn công botnet. Trên thực tế, một số mục tiêu chỉ muốn theo dõi cái gọi là kết nối tương tác, trong đó có sự tham gia của người dùng. Tuy nhiên, chúng không thể xác định được các kết nối không tương tác do máy móc tạo ra, chẳng hạn như các kết nối tạo nên mạng botnet. Trong trường hợp này, nỗ lực kết nối sẽ không được phát hiện. Trên thực tế, xác thực đa yếu tố không được kích hoạt, tạo điều kiện cho tội phạm mạng truy cập vào các tài khoản mục tiêu. Tất cả những gì bạn cần là thông tin xác thực phù hợp và thế là xong.
Sau khi thông tin xác thực được xác thực, bạn có thể sử dụng thông tin này để truy cập vào các dịch vụ không được bảo vệ bằng xác thực đa yếu tố. Các nhà nghiên cứu báo cáo rằng dữ liệu cũng có thể được sử dụng trong các cuộc tấn công lừa đảo.
Theo các nhà nghiên cứu, mạng botnet này nằm dưới sự chỉ huy của tin tặc từ Trung Quốc. Họ đã tìm thấy một số manh mối cho thấy tội phạm mạng Trung Quốc có liên quan, bao gồm cả múi giờ được sử dụng trên máy chủ. Cho đến nay, các chuyên gia vẫn chưa tìm ra được nguyên nhân. một băng nhóm cụ thể.
Nguồn: SecurityScorecard
Các cuộc tấn công dựa trên thông tin đăng nhập bị đánh cắp
Hoạt động từ tháng 12 năm 2024, mạng botnet này điều phối các cuộc tấn công được gọi là phun mật khẩu. Kiểu tấn công này bao gồm việc thử nhiều mật khẩu thường dùng trên nhiều tài khoản cùng lúc. Bằng cách nhân lên nhiều lần thử đăng nhập, tội phạm mạng thường tìm ra đúng tổ hợp.
Để nâng cao hiệu quả trong các cuộc tấn công, botnet dựa vào các mã định danh bị đánh cắp từ nguồn bởi virus đánh cắp thông tin (hoặc trình đánh cắp thông tin). Loại phần mềm độc hại này ngày càng được tin tặc khai thác, được thiết kế riêng để thu thập và đánh cắp dữ liệu cá nhân của người dùng Internet, bao gồm tên người dùng và mật khẩu. Tóm lại, botnet đang thử nghiệm các kết hợp đã bị xâm phạm để xem liệu chúng có thể mở khóa tài khoản Microsoft 365 hay không.
Tin tặc vượt qua xác thực hai yếu tố
Botnet cố gắng truy cập tài khoản Microsoft bằng phương pháp xác thực đơn giản, biết mật khẩu truyền thống và tránh xác thực đa yếu tố. Để vượt qua hệ thống xác thực hai yếu tố, tin tặc đã tìm ra một mẹo.
Một số tổ chức không có phương tiện để phát hiện các cuộc tấn công botnet. Trên thực tế, một số mục tiêu chỉ muốn theo dõi cái gọi là kết nối tương tác, trong đó có sự tham gia của người dùng. Tuy nhiên, chúng không thể xác định được các kết nối không tương tác do máy móc tạo ra, chẳng hạn như các kết nối tạo nên mạng botnet. Trong trường hợp này, nỗ lực kết nối sẽ không được phát hiện. Trên thực tế, xác thực đa yếu tố không được kích hoạt, tạo điều kiện cho tội phạm mạng truy cập vào các tài khoản mục tiêu. Tất cả những gì bạn cần là thông tin xác thực phù hợp và thế là xong.
Sau khi thông tin xác thực được xác thực, bạn có thể sử dụng thông tin này để truy cập vào các dịch vụ không được bảo vệ bằng xác thực đa yếu tố. Các nhà nghiên cứu báo cáo rằng dữ liệu cũng có thể được sử dụng trong các cuộc tấn công lừa đảo.
Theo các nhà nghiên cứu, mạng botnet này nằm dưới sự chỉ huy của tin tặc từ Trung Quốc. Họ đã tìm thấy một số manh mối cho thấy tội phạm mạng Trung Quốc có liên quan, bao gồm cả múi giờ được sử dụng trên máy chủ. Cho đến nay, các chuyên gia vẫn chưa tìm ra được nguyên nhân. một băng nhóm cụ thể.
Nguồn: SecurityScorecard
