Botnet zielt mit Password-Spraying-Angriff auf Microsoft-Konten ab

Ein riesiges Botnet (Netzwerk privater Computer, die mit Malware infiziert sind) mit 130.000 Geräten hat es auf Microsoft 365-Dienstkonten auf der ganzen Welt abgesehen. Das Botnet, das zuerst von SecurityScorecard entdeckt wurde, scheint in einen massiven Password-Spraying-Angriff verwickelt zu sein. Bemerkenswert ist, dass die Angreifer die Multi-Faktor-Authentifizierung umgehen konnten, indem sie die Basic Authentication (Basic Auth) ausnutzten – eine veraltete Authentifizierungsmethode. Dies bedeutet, dass keine Sicherheitswarnungen ausgelöst werden und Unternehmen möglicherweise nicht wissen, dass sie angegriffen werden.

Zusammenfassung des Angriffs

• Wer war das Ziel: Microsoft 365-Dienstkonten weltweit
• Art des Angriffs: Password-Spraying über ein massives Botnet
• Auswirkungen: Potenzial für die Übernahme von Konten, gestörte Abläufe durch Aussperrungen und laterale Bewegungen nach unbefugtem Zugriff
• Wer war verantwortlich: Offiziell nicht zugeordnet. SecurityScorecard geht davon aus, dass eine mit China verbundene Gruppe hinter dem Angriff steckt, und beruft sich dabei auf Beweise für eine Infrastruktur, die mit CDS Global Cloud und UCLOUD HK verbunden ist, die operative Verbindungen zu China haben. Der Angriff verwendet Command-and-Control-Server (C2), die von SharkTech gehostet werden, einem in den USA ansässigen Anbieter, der bereits zuvor für das Hosting bösartiger Aktivitäten identifiziert wurde.

Wie ist der Angriff abgelaufen?

Laut SecurityScorecard haben die Angreifer Infostealer verwendet, um eine Datenbank mit gestohlenen Anmeldedaten zu sammeln. Von dort aus zielen sie systematisch auf Konten mit gängigen/kompromittierten Passwörtern in großem Umfang auf der ganzen Welt ab. Die Verwendung eines Botnets mit über 130.000 kompromittierten Geräten bedeutet, dass die Anmeldeversuche auf viele verschiedene IP-Adressen verteilt wurden.

Die Angriffe werden als „nicht-interaktive Anmelde“-Protokolle aufgezeichnet, was dazu beiträgt, dass die Anmeldeversuche nicht als verdächtig gekennzeichnet werden. Aus der Sicht eines Hackers maximiert dies die Wahrscheinlichkeit einer Kompromittierung und hält gleichzeitig die Anzahl der Kontosperrungen auf einem Minimum. Sobald sie eine Übereinstimmung mit verifizierten Anmeldedaten erhalten, erhalten sie vollen Zugriff auf das Konto und können weitere Angriffe starten.

Das Hauptproblem hier ist, dass Basic Auth eine veraltete Authentifizierungsmethode ist, die nicht in Verbindung mit MFA verwendet werden kann. Stattdessen werden Anmeldedaten in Klartext oder Base64-kodierter Form mit jeder Anfrage an einen Server gesendet. Microsoft plant, diese zugunsten von OAuth 2.0 einzustellen im September 2025, nachdem es bereits für die meisten Microsoft 365-Dienste deaktiviert wurde.

Was ist zu tun, wenn Sie glauben, dass Sie von dem Botnet-Angriff betroffen sind?

Die folgende Warnung wurde von SecurityScorecard gegeben: „Organisationen, die sich ausschließlich auf die interaktive Anmeldeüberwachung verlassen, sind blind für diese Angriffe. Nicht-interaktive Anmeldungen, die häufig für die Service-to-Service-Authentifizierung, Legacy-Protokolle (z. B. POP, IMAP, SMTP) und automatisierte Prozesse verwendet werden, lösen in vielen Konfigurationen keine MFA aus.“ Sie bieten allen Organisationen, die glauben, dass sie betroffen sind, folgenden Rat: Organisationen sollten Basic Auth in Microsoft 365 deaktivieren, die im Bericht aufgeführten IP-Adressen blockieren, CAPs aktivieren, um Anmeldeversuche einzuschränken, und MFA für alle Konten verwenden.

Blockieren Sie kontinuierlich 4 Milliarden+ kompromittierte Passwörter in Ihrem Active Directory

Mehr erfahren

Specops-Analyse: Abwehr von Password-Spraying-Angriffen

Darren James, Senior Product Manager bei Specops, sagte Folgendes über den Angriff: „Password-Spraying von Dienstkonten anstelle von Benutzern ist sicherlich ein interessanter und oft übersehener Angriffsvektor. Dienstkonten werden regelmäßig verwendet, um unternehmenskritische Systeme auszuführen, und ihre Passwörter werden selten geändert. Sie haben keine Art von 2FA angewendet und sie haben normalerweise einige erhöhte Berechtigungen, abhängig von ihrer Funktion. Das bedeutet, dass sie ein gutes Ziel für Angriffe sind.

„Wir sehen oft Dienstkonten in unseren Berichten über kompromittierte Passwörter und doppelte Passwörter, wenn Kunden unser kostenloses Active Directory-Audit-Tool Specops Password Auditor ausführen. Diese Passwörter werden normalerweise vom IT-Administrator festgelegt, der den Dienst installiert, und dann nie wieder geändert, und es ist ziemlich üblich, dass die auf diesen Konten festgelegten Passwörter nicht stark sind oder in der Vergangenheit auf anderen Konten verwendet wurden.

„Wenn wir die Ergebnisse des Berichts besprechen, sind Administratoren immer besorgt über Änderungen an Dienstkonten, da dies zu Störungen einer unternehmenskritischen Lösung führen könnte, aber wie dieser neueste Angriff zeigt, birgt dieser Ansatz Risiken für Unternehmen. Password-Spray-Angriffe wurden entwickelt, um die mit Brute-Force-Angriffen verbundenen Nachteile zu überwinden. Diese Angriffe versuchen, sich mit einigen wenigen Passwörtern, von denen bekannt ist, dass sie besonders häufig sind, bei allen Konten der Organisation anzumelden. In einer großen Organisation besteht eine gute Chance, dass mindestens ein Konto eines dieser schwachen Passwörter hat.

„Unternehmen sollten sich bemühen, sehr starke und lange Passwörter für Dienstkonten zu erzwingen, diese Konten kontinuierlich auf kompromittierte Passwörter zu scannen, die Verwendung von Passwort-Tresoren zu erzwingen und zufällig generierte Passwörter für diese Art von Konto zu verwenden. Wenn möglich, sollten sie zu einem verwalteten Dienstkonto übergehen, das es dem System ermöglicht, die Passwörter von Dienstkonten ohne menschliches Zutun festzulegen und regelmäßig zu ändern.“

Blockieren Sie schwache Passwörter und erkennen Sie kompromittierte Anmeldedaten

MFA wäre oft die wichtigste Verteidigung gegen Password-Spraying-Angriffe, obwohl Angreifer in diesem Fall in der Lage waren, sie zu umgehen, da sie die Basic Authentication auf Konten ausnutzten, die MFA nicht verwenden können. Es gibt zwei weitere wichtige Verteidigungsmaßnahmen, die Unternehmen ergreifen sollten, um Password-Spray-Angriffe sowohl gegen Endbenutzer als auch gegen Dienstkonten zu bekämpfen:

1. Verhindern Sie, dass Benutzer schwache Passwörter wählen: Die Angreifer verlassen sich auf Datenbanken mit bekannten schwachen und kompromittierten Passwörtern, die häufig von Malware gestohlen werden. Wir haben kürzlich 1 Milliarde+ von Malware gestohlene Passwörter analysiert und die häufigsten waren Basisterme oder Tastaturwege wie „qwerty“ oder „123456.“ Ihre Passwortrichtlinie sollte verhindern, dass Endbenutzer schwache Passwörter erstellen, und stattdessen lange, eindeutige Passphrasen erzwingen.
2. Scannen Sie Ihr Active Directory nach kompromittierten Passwörtern: Selbst starke Passwörter können kompromittiert werden, wenn Endbenutzer Work-Passwörter auf persönlichen Geräten, Websites und Anwendungen mit schwacher Sicherheit wiederverwenden. Sie sollten in Erwägung ziehen, Tools hinzuzufügen, um Ihr Active Directory nach Passwörtern zu scannen, von denen bekannt ist, dass sie an Verstößen beteiligt sind. Beachten Sie, dass einige Lösungen nur bei Reset-Ereignissen scannen, während Lösungen wie Specops Password Policy with Breached Password Protection kontinuierlich nach kompromittierten Passwörtern in Ihrer Umgebung suchen können.

Interessiert daran, Ihr Active Directory von schwachen und kompromittierten Passwörtern zu befreien? Nehmen Sie noch heute Kontakt auf, um eine kostenlose Testversion von Specops Password Policy zu erhalten.