Pelaku yang berhubungan dengan Iran menargetkan penyewa Office 365 dari perusahaan teknologi pertahanan AS dan Israel dalam serangan extensive password spraying attacks.
Dalam extensive password spraying attacks, pelaku ancaman mencoba untuk memaksa akun dengan menggunakan kata sandi yang sama di beberapa akun secara bersamaan, yang memungkinkan mereka menyembunyikan upaya yang gagal menggunakan alamat IP yang berbeda.
Hal ini memungkinkan mereka untuk mengalahkan pertahanan otomatis seperti penguncian kata sandi dan pemblokiran IP berbahaya yang dirancang untuk memblokir beberapa upaya login yang gagal.
Cluster aktivitas itu untuk sementara dijuluki DEV-0343 oleh para peneliti di Microsoft Threat Intelligence Center (MSTIC) dan Microsoft Digital Security Unit (DSU), yang telah melacaknya sejak akhir Juli.
Menurut Microsoft, aktivitas jahat yang sedang berlangsung ini sejalan dengan kepentingan nasional Iran berdasarkan teknik dan target yang selaras dengan aktor ancaman terkait Iran lainnya.
DEV-0343 juga dikaitkan dengan Iran berdasarkan analisis pola kehidupan dan persilangan ekstensif dalam penargetan sektoral dan geografis dengan kelompok peretas Iran lainnya.
“Penargetan dalam aktivitas DEV-0343 ini telah diamati di seluruh perusahaan pertahanan yang mendukung Amerika Serikat, Uni Eropa, dan mitra pemerintah Israel yang memproduksi radar tingkat militer, teknologi drone, sistem satelit, dan sistem komunikasi tanggap darurat,” kata Microsoft.
“Aktivitas lebih lanjut telah menargetkan pelanggan dalam sistem informasi geografis (GIS), analitik spasial, pelabuhan masuk regional di Teluk Persia, dan beberapa perusahaan transportasi laut dan kargo dengan fokus bisnis di Timur Tengah.”
Tujuan akhir operator DEV-0343 kemungkinan adalah untuk mendapatkan akses ke citra satelit komersial dan rencana pengiriman dan log kepemilikan, yang akan digunakan untuk menambah program satelit dalam pengembangan Iran.
Microsoft telah langsung memberi tahu pelanggan yang telah ditargetkan atau disusupi, memberi mereka informasi yang mereka butuhkan untuk mengamankan akun mereka.
Kurang dari 20 target dilanggar
Sejak serangan dimulai, kurang dari 20 target telah dikompromikan, dengan Microsoft mencatat bahwa akun Office 365 dengan otentikasi multifaktor (MFA) yang diaktifkan tahan terhadap serangan semprotan kata sandi DEV-0343.
DEV-0343 menargetkan titik akhir Autodiscover dan ActiveSync Exchange dengan alat penyemprot enumerasi/sandi untuk memvalidasi akun aktif dan memperbaiki serangan mereka.
“Mereka biasanya menargetkan lusinan hingga ratusan akun dalam suatu organisasi, tergantung pada ukurannya, dan menghitung setiap akun dari lusinan hingga ribuan kali,” kata Microsoft.
“Rata-rata, antara 150 dan 1.000+ alamat IP proxy Tor unik digunakan dalam serangan terhadap setiap organisasi.”
Cara bertahan dari serangan
Perusahaan yang terpapar aktivitas ini didorong untuk mencari perilaku dan taktik DEV-0343 dalam log dan aktivitas jaringan, termasuk:
Lalu lintas masuk yang luas dari alamat IP Tor untuk kampanye extensive password spraying attacks
-Emulasi browser FireFox (paling umum) atau Chrome dalam kampanye penyemprotan kata sandi
-Pencacahan Exchange ActiveSync (paling umum) atau titik akhir Autodiscover
-Penggunaan alat enumerasi/penyemprotan kata sandi yang mirip dengan alat ‘o365spray’
-Penggunaan Autodiscover untuk memvalidasi akun dan kata sandi
-Aktivitas penyemprotan kata sandi yang diamati biasanya memuncak antara 04:00:00 dan 11:00:00 UTC
Microsoft merekomendasikan untuk mengambil langkah-langkah berikut sebagai pertahanan terhadap serangan DEV-0343:
Aktifkan autentikasi multifaktor untuk mengurangi kredensial yang disusupi.
-Untuk pengguna Office 365, lihat dukungan autentikasi multifaktor.
-Untuk akun email Konsumen dan Pribadi, lihat cara menggunakan verifikasi dua langkah.
-Microsoft sangat menganjurkan semua pelanggan untuk mengunduh dan menggunakan solusi tanpa kata sandi.
-Tinjau dan terapkan kebijakan akses Exchange Online yang direkomendasikan:
-Blokir klien ActiveSync agar tidak melewati kebijakan Akses Bersyarat.
-Blokir semua lalu lintas masuk dari layanan anonim jika memungkinkan.
-Peneliti MSTIC dan DSU juga membagikan kueri perburuan lanjutan Microsoft 365 Defender dan Azure Sentinel di akhir entri blog untuk membantu tim SecOps mendeteksi aktivitas terkait DEV-0343.
sumber: bleepingcomputer
Leave a Reply