热门搜索词

抗D保 IPv6 报告 CN2 功能 入侵 漏洞 DDoS 攻击

热门文章

  • [公告] 8月24日知道创宇云防御平台升...

    知道创宇云防御平台将于北京时间 2021-08-24 01:00 至 2021-08-24 03:00 进行升级维护。

  • 高分手游遭DDoS攻击致开服即停服 中小...

    “8月6日,由青度互娱研发的《弈剑行》手游正式开服公测当天便遭遇了黑客攻击,导致停服” 关于这个事件,我们可以看到ACCN黑客组织在选择目标方面特意避开了大厂,而专门选择中小型的企业作为发起攻击的对象,他们为何会做出如此选择?中小企业在面临DDoS攻击时应如何应对呢? #安全419#联系到了【知道创宇云防御】了解这些问题背后的关键所在。

  • 无数小游戏制作商遭黑客恶意攻击,“开服即...

    “游戏高防”是知道创宇针对手游、端游等业务推出的 DDoS/CC 防御服务。

关注知道创宇云防御

获取最新安全动态

微软安全报告称美国多家国防公司被盯上 攻击者疑似来自伊朗

来源:cnBeta.COM 2021.10.13

数日前,微软发布了年度《Digital Defense Report》,指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天,这家科技巨头再次发布了一份咨询报告,称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。

db8cf103b7afb28

图片来自于微软

微软发现的最新恶意活动集群目前被称为 DEV-0343。该公司将这一命名方式分配给一个发展中的集群,其身份尚未得到确认。一旦对他们的身份达到足够高的信任度,这个 ID 就会被改变为一个被命名的威胁行为者的 ID。

截至目前,DEV-0343 的目标似乎是美国和以色列的国防公司、在中东有业务的全球海上运输公司以及波斯湾的入境港口。它的攻击方法包括对 Office 365 订阅用户进行密码喷洒(Password Spraying),这显然意味着具有多因素认证(MFA)的账户对它有弹性。微软表示,超过 250 个订阅用户成为攻击目标,但只有不到 20 个租户被成功入侵。目前受影响的客户已经被告知。

微软将这一活动与伊朗联系起来的一些理由如下。

根据生活模式分析,这一活动可能支持伊朗伊斯兰共和国的国家利益,与伊朗行为者在地理和部门目标上的广泛交叉,以及与源自伊朗的另一行为者在技术和目标上的一致性。

微软公司评估说,这种目标定位支持伊朗政府跟踪对手的安全服务和中东地区的海上航运,以加强他们的应急计划。获得商业卫星图像和专有的航运计划和日志可以帮助伊朗弥补其发展中的卫星计划。

鉴于伊朗过去对航运和海上目标的网络和军事攻击,微软认为这一活动增加了这些行业的公司的风险,微软鼓励这些行业和地理区域的客户审查本博客中分享的信息,以防御这一威胁。

微软强调,DEV-0343 已经继续发展,并使用 Tor IP 地址来隐藏其运营基础设施。微软建议企业注意在 UTC 时间 4:00:00 至 11:00:00 之间来自模拟 Firefox 或 Chrome 浏览器的 Tor IPs 的大量入站流量,列举 Exchange ActiveSync 或 Autodiscover 端点,使用后者来验证账户和密码,以及利用密码喷雾工具,如 o365spray。

微软建议客户也使用 MFA 和无密码解决方案,如Microsoft Authenticator,审查Exchange Online访问策略,并尽可能阻止来自匿名服务的流量。该公司还为Microsoft 365 Defender和Azure Sentinel列出了一些狩猎查询,客户可以利用它们来检测恶意活动。你可以在这里查看它们。