近日，一個由超13萬臺被入侵設備組成的僵尸網絡，正對微軟 365賬戶發動大規模密碼噴灑攻擊。此次攻擊手段隱蔽，且利用了關鍵安全盲點，給眾多行業帶來嚴重威脅。

最近發現的一個由超過13萬臺被入侵設備組成的僵尸網絡，正在對微軟 365賬戶發動協同的密碼噴灑攻擊。

SecurityScorecard的安全研究人員正在調查，此次攻擊利用了由美國提供商SharkTech托管的命令與控制(C2)服務器，而SharkTech此前曾因托管惡意活動而被識別。

SecurityScorecard的威脅情報研究員David Mound表示：“我們STRIKE威脅情報團隊的這些發現再次強調，對手如何繼續尋找并利用身份驗證過程中的漏洞。”“企業不能僅僅依靠多因素身份驗證(MFA)作為足夠的防御。了解非交互式登錄的細微差別對于彌補這些漏洞至關重要。”

這是新的攻擊嗎?

雖然密碼噴灑是一種眾所周知的技術，但此次攻擊活動因其規模、隱蔽性和利用關鍵安全盲點而引人注目。與以往的Volt Typhoon攻擊和APT33攻擊不同，此次僵尸網絡利用非交互式登錄來規避傳統安全控制的檢測。

通常，密碼噴灑會導致鎖定，從而提醒安全團隊，然而，此次攻擊活動明確針對非交互式登錄，這種登錄用于服務到服務的身份驗證，并不總是生成安全警報。這使得攻擊者能夠在高度安全的環境中操作，而不會觸發MFA防御或條件訪問策略(CAP)。

哪些企業面臨風險?

此次攻擊對許多行業都有影響，但那些嚴重依賴微軟 365進行電子郵件、文檔存儲和協作的企業可能面臨特別大的風險。主要受影響的行業包括：

• 金融服務和保險：欺詐、內部威脅和監管問題的重點目標。
• 醫療保健：未經授權訪問患者記錄和運營中斷的風險。
• 政府和國防：可能的間諜活動和數據外泄問題。
• 技術和SaaS提供商：威脅行為者可能入侵賬戶以發動供應鏈攻擊。
• 教育和研究機構：大學和實驗室仍然是知識產權盜竊的頻繁目標。

為何重要?

• 繞過防御：即使安全態勢強大的公司，也可能由于這些身份驗證嘗試記錄方式中的漏洞而容易受到攻擊。
• 不斷增長的趨勢：過去的攻擊活動中已觀察到類似的戰術，特別是針對政府機構、關鍵基礎設施和大型企業。

安全團隊現在需要做什么?

• 審查非交互式登錄日志，尋找未經授權的訪問嘗試。
• 輪換最近登錄嘗試中標記的任何賬戶的憑據。
• 禁用基本身份驗證等舊版身份驗證協議。
• 監控信息竊取者日志中與其組織相關的被盜憑據。
• 實施條件訪問策略，限制非交互式登錄嘗試。

隨著微軟計劃在2025年9月前完全淘汰基本身份驗證，這些攻擊凸顯了在更大規模利用之前過渡到更安全身份驗證方法的緊迫性。