微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一个恶意活动群体，跟踪为DEV-0343，它的目标是美国和以色列国防技术公司的Office 365租户。

攻击者针对目标组织发起了大规模的密码喷洒攻击，这一恶意活动于2021年7月首次被发现。

“DEV-0343是微软威胁情报中心(MSTIC)于2021年7月下旬首次观察并开始跟踪的一个新的活动群体。MSTIC观察到DEV-0343对250多家Office 365租户进行了大量的密码喷洒攻击，重点是美国和以色列的国防技术公司、波斯湾的入境港口，或在中东有业务存在的全球海运公司。”“虽然只有不到20家目标租户被成功攻击，但DEV-0343在继续改进他们的攻击技术。”微软发布的这篇帖子写道。

微软补充说，对于启用了多因素身份验证(MFA)的Office 365账户的密码喷洒攻击并未生效。

DEV-0343主要针对防务公司，这些公司支持美国、欧盟和以色列政府合作伙伴并产出军用雷达、无人机技术、卫星系统和应急响应通信系统。

微软研究人员表示，这一活动与德黑兰的利益一致，而且其ttp与另一个与伊朗有关的攻击者的类似。

“进一步的活动目标包括地理信息系统(GIS)、空间分析、波斯湾的区域入境港口以及几家专注于中东业务的海运和货物运输公司。”报告补充道。

研究人员推测，攻击者的目的是获取商业卫星图像和专有航运计划和日志，这些信息可以让伊朗政府补充其正在发展的卫星计划。

DEV-0343背后的威胁行动者利用一系列精心设计的Tor IP地址来混淆他们的基础设施。

“DEV-0343模拟火狐浏览器，使用托管在Tor代理网络上的IP进行大量的密码喷洒攻击。他们最活跃的时间是周日和周四，伊朗时间早上7:30到晚上8:30 (UTC 04:00:00和17:00:00)，在伊朗时间早上7:30之前和晚上8:30之后活动显著减少。它们通常针对组织内的数十到数百个账户(取决于规模)，并对每个账户进行数十到数千次的枚举。平均而言，针对每个组织的攻击使用了150到1000多个唯一的Tor代理IP地址。”报告继续说道。“DEV-0343执行者通常针对两个Exchange端点——Autodiscover和ActiveSync——作为他们使用的枚举/密码喷洒工具的功能。这方便了DEV-0343验证活跃账户和密码，并进一步完善他们的密码喷洒攻击行为。”

微软已经直接通知了那些被攻击的客户，并向他们提供了他们需要的信息来保护他们的账户。

微软建议企业在日志和网络活动中观察是否存在以下迹象，以确定他们的基础设施是否受到了威胁者的攻击:

• 大量来自Tor IP地址的密码攻击流量
• 在密码喷洒活动中模仿FireFox(最常见)或Chrome浏览器
• Exchange ActiveSync(最常见)或自动发现端点的枚举
• 类似于’ o365spray ‘工具的枚举/密码喷洒工具的使用
• 使用自动发现来验证帐户和密码
• 观察到密码喷洒攻击通常在UTC 04:00:00和11:00:00之间达到高峰

转自 HackerNews.cc https://hackernews.cc/archives/36387