數日前,微軟發布了年度《Digital Defense Report》,指出對政府最大的數字威脅主要來自俄羅斯、朝鮮、伊朗等國家。今天,這家科技巨頭再次發布了一份諮詢報告,稱多家參與國防的美國公司正被一個與伊朗有關的威脅行為者盯上。
圖片來自於 微軟
微軟發現的最新惡意活動集群目前被稱為 DEV-0343。該公司將這一命名方式分配給一個發展中的集群,其身份尚未得到確認。一旦對他們的身份達到足夠高的信任度,這個 ID 就會被改變為一個被命名的威脅行為者的 ID。
截至目前,DEV-0343 的目標似乎是美國和以色列的國防公司、在中東有業務的全球海上運輸公司以及波斯灣的入境港口。它的攻擊方法包括對 Office 365 訂閱用戶進行密碼噴洒(Password Spraying),這顯然意味着具有多因素認證(MFA)的賬戶對它有彈性。微軟表示,超過 250 個訂閱用戶成為攻擊目標,但只有不到 20 個租戶被成功入侵。目前受影響的客戶已經被告知。
微軟將這一活動與伊朗聯繫起來的一些理由如下。
根據生活模式分析,這一活動可能支持伊朗伊斯蘭共和國的國家利益,與伊朗行為者在地理和部門目標上的廣泛交叉,以及與源自伊朗的另一行為者在技術和目標上的一致性。
微軟公司評估說,這種目標定位支持伊朗政府跟蹤對手的安全服務和中東地區的海上航運,以加強他們的應急計劃。獲得商業衛星圖像和專有的航運計劃和日誌可以幫助伊朗彌補其發展中的衛星計劃。
鑒於伊朗過去對航運和海上目標的網絡和軍事攻擊,微軟認為這一活動增加了這些行業的公司的風險,微軟鼓勵這些行業和地理區域的客戶審查本博客中分享的信息,以防禦這一威脅。
微軟強調,DEV-0343 已經繼續發展,並使用 Tor IP 地址來隱藏其運營基礎設施。微軟建議企業注意在 UTC 時間 4:00:00 至 11:00:00 之間來自模擬 Firefox 或 Chrome 瀏覽器的 Tor IPs 的大量入站流量,列舉 Exchange ActiveSync 或 Autodiscover 端點,使用後者來驗證賬戶和密碼,以及利用密碼噴霧工具,如 o365spray。
微軟建議客戶也使用 MFA 和無密碼解決方案,如Microsoft Authenticator,審查Exchange Online訪問策略,並儘可能阻止來自匿名服務的流量。該公司還為Microsoft 365 Defender和Azure Sentinel列出了一些狩獵查詢,客戶可以利用它們來檢測惡意活動。你可以在這裡查看它們。