研究人員發(fā)現(xiàn)了一個名為DEV-0343的網(wǎng)絡(luò)組織攻擊了美國和以色列的國防技術(shù)公司、波斯灣的入境港口以及與中東有關(guān)的全球海上運輸公司。該威脅組織的攻擊方式主要是接管微軟Office 365賬戶。

　　微軟在2021年7月底開始追蹤這些攻擊活動，并在發(fā)布的一份警報中詳細(xì)介紹了這些攻擊手法，并補充說，該罪犯似乎一直在從事網(wǎng)絡(luò)間諜活動，同時該組織與伊朗有聯(lián)系，并且網(wǎng)絡(luò)攻擊者正在對Office 365賬戶進行大面積的密碼噴灑攻擊。

　　密碼噴灑攻擊是針對在線賬戶使用大量用戶名和一系列不同密碼進行攻擊的過程，攻擊者希望找到正確的密碼并獲得對受密碼保護賬戶的訪問權(quán)限。微軟表示，在這種情況下，攻擊者通常會對每個目標(biāo)組織內(nèi)的幾十個到幾百個賬戶進行攻擊，并且會對每個賬戶嘗試數(shù)千個憑證組合。

　　據(jù)該公司稱，到目前為止，該活動已對大約250個使用微軟云辦公套件的組織進行了攻擊，其中有將近20個組織受到了影響。然而，該計算巨頭警告說，DEV-0343在繼續(xù)完善他們的攻擊技術(shù)。

　　據(jù)分析，目前發(fā)現(xiàn)的攻擊源使用的是一個Firefox或Chrome瀏覽器，并在Tor代理網(wǎng)絡(luò)上使用輪換的IP地址進行攻擊。微軟說，平均下來，每次攻擊都會使用150到1000個獨立的IP地址，攻擊者這樣做是為了混淆攻擊的來源，增加攻擊溯源的難度。

　　研究人員說，每次進行密碼爆破攻擊都改變IP地址正在成為威脅集團中的一個很常見的攻擊技術(shù)，通常情況下，威脅集團會隨機使用他們用戶代理以及IP地址進行攻擊。由于現(xiàn)在出現(xiàn)的提供大量住宅IP地址的服務(wù)使得該技術(shù)很容易實現(xiàn)。而這些服務(wù)往往是通過瀏覽器插件來啟用的。

　　使用這種代理地址使得開發(fā)指標(biāo)或IoCs變得非常困難，但微軟在攻擊中觀察到的攻擊模式還包括：

　　1、來自Tor IP地址的大量入站流量用于密碼噴射攻擊活動

　　2、在密碼噴灑活動中模擬FireFox（最常見）或Chrome瀏覽器

　　3、枚舉Exchange ActiveSync（最常見）或Autodiscover端點

　　4、使用類似于“o365spray ”工具的枚舉/密碼噴射工具

　　5、使用Autodiscover來驗證賬戶和密碼

　　攻擊者通常會針對兩個Exchange端點--Autodiscover和ActiveSync來進行他們的枚舉/密碼噴灑攻擊。據(jù)微軟稱，這使得DEV-0343能夠很容易驗證活動賬戶和密碼，并進一步完善他們的密碼噴灑攻擊活動。

　　據(jù)稱與伊朗有關(guān)

　　該集團使用的帶有 “DEV ”的名稱只是微軟臨時指定的名稱，它代表著一個在不斷壯大的攻擊活動群體。在對攻擊者有了更多了解后，微軟將會給它取一個永久性的名字。

　　但目前，有證據(jù)表明攻擊者是伊朗人。例如，微軟說，他們會專門針對制造軍用級雷達(dá)、無人機技術(shù)、衛(wèi)星系統(tǒng)、應(yīng)急通信系統(tǒng)、地理信息系統(tǒng)（GIS）和空間分析的公司，以及港口和運輸公司進行攻擊。微軟表示，這與伊朗以前對航運和海上目標(biāo)的攻擊的特點基本吻合。

　　該公司指出，根據(jù)攻擊模式分析，這一威脅集團可能一直在支持伊朗伊斯蘭共和國的國家利益，并且該模式與來自伊朗的另一個攻擊者在技術(shù)上非常相似。

　　另外，該組織在伊朗當(dāng)?shù)貢r間周日至周四上午7:30至晚上8:30之間最為活躍，微軟公司也在上午7:30至下午2:30之間觀察到了密碼噴射攻擊的高峰。

　　如何防止office 365被攻擊

　　為了防止密碼噴射攻擊，微軟建議用戶首先要啟用多因素認(rèn)證。或者使用其他防御策略來保護賬戶，比如像Microsoft Authenticator這樣的無密碼解決方案；審查Exchange Online訪問策略；阻止ActiveSync客戶端繞過條件訪問策略；并盡可能阻止來自匿名服務(wù)的所有傳入流量。