数日前，微软发布了年度《Digital Defense Report》，指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天，这家科技巨头再次发布了一份咨询报告，称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。

图片来自于微软

微软发现的最新恶意活动集群目前被称为 DEV-0343。该公司将这一命名方式分配给一个发展中的集群，其身份尚未得到确认。一旦对他们的身份达到足够高的信任度，这个 ID 就会被改变为一个被命名的威胁行为者的 ID。

截至目前，DEV-0343 的目标似乎是美国和以色列的国防公司、在中东有业务的全球海上运输公司以及波斯湾的入境港口。它的攻击方法包括对 Office 365 订阅用户进行密码喷洒（Password Spraying），这显然意味着具有多因素认证（MFA）的账户对它有弹性。微软表示，超过 250 个订阅用户成为攻击目标，但只有不到 20 个租户被成功入侵。目前受影响的客户已经被告知。

微软将这一活动与伊朗联系起来的一些理由如下。

根据生活模式分析，这一活动可能支持伊朗伊斯兰共和国的国家利益，与伊朗行为者在地理和部门目标上的广泛交叉，以及与源自伊朗的另一行为者在技术和目标上的一致性。

微软公司评估说，这种目标定位支持伊朗政府跟踪对手的安全服务和中东地区的海上航运，以加强他们的应急计划。获得商业卫星图像和专有的航运计划和日志可以帮助伊朗弥补其发展中的卫星计划。

鉴于伊朗过去对航运和海上目标的网络和军事攻击，微软认为这一活动增加了这些行业的公司的风险，微软鼓励这些行业和地理区域的客户审查本博客中分享的信息，以防御这一威胁。

微软强调，DEV-0343 已经继续发展，并使用 Tor IP 地址来隐藏其运营基础设施。微软建议企业注意在 UTC 时间 4:00:00 至 11:00:00 之间来自模拟 Firefox 或 Chrome 浏览器的 Tor IPs 的大量入站流量，列举 Exchange ActiveSync 或 Autodiscover 端点，使用后者来验证账户和密码，以及利用密码喷雾工具，如 o365spray。

微软建议客户也使用 MFA 和无密码解决方案，如Microsoft Authenticator，审查Exchange Online访问策略，并尽可能阻止来自匿名服务的流量。该公司还为Microsoft 365 Defender和Azure Sentinel列出了一些狩猎查询，客户可以利用它们来检测恶意活动。你可以在这里查看它们。