【提防入侵】Microsoft 警告:雲端帳戶密碼噴灑攻擊增加
Microsoft 檢測和響應團隊 (Microsoft Detection and Response Team, DART) 表示,他們偵測到針對雲端特權帳戶和高級身份帳戶的密碼噴灑攻擊有所增加,呼籲用戶注意。
密碼噴灑攻擊屬於蠻力攻擊的一種,攻擊者試圖使用常用密碼,存取大量帳戶,看看會不會剛好「撞中」密碼。這些攻擊通常在從一個帳戶,切換到另一個帳戶時,兩者都使用相同的密碼,以查找容易被攻破的帳戶,而這個方法能避免觸發密碼錯誤所導致的帳戶鎖定,以及惡意 IP 攔截(如使用殭屍網絡)等防禦措施。簡單來說,這種策略透過每次嘗試登入一個帳戶,並以常用密碼列表,快速嘗試登入不同帳戶。
DART 表示,在過去的一年中,他們與 Microsoft 的威脅情報團隊觀察到,使用密碼噴灑攻擊媒介的情況有所增加,最近,DART 發現,雲端管理員帳戶成為密碼噴灑攻擊目標的數字有所增加。DART 建議用家,盡可能在所有帳戶中啟用和強制執行多因素身份驗證 (MFA),並採用無密碼技術,藉以大幅降低帳戶受此類攻擊,繼而被盜用的風險。
Microsoft 的身份安全總監 Alex Weinert 一年前曾指,密碼噴灑攻擊是目前最流行的身份驗證攻擊之一,佔企業帳戶洩露的三分之一以上,而 DART 在最近的密碼噴灑攻擊中,發現了大量擁有各種權限的管理員帳戶受到攻擊。當中受到最多攻擊的目標包括掌握安全權限的帳戶、Exchange Services、Conditional Access administrator 、SharePoint、Helpdesk、收費、身份驗證和公司管理員的帳戶。除了以上特權帳戶外,威脅行為者還試圖攻擊高級身份帳戶(包括 C-level executives)或存取敏感數據。
在今年 7 月,美國國家安全局透露,得到俄羅斯政府支持的黑客組織 Fancy Bear,從 Kubernetes 集群對美國政府和國防部機構在內的外國組織,發起了密碼噴灑攻擊。
Microsoft 早前發現與伊朗有關聯的 DEV-0343 和俄羅斯政府支持的 Nobelium ,分別針對國防科技公司和託管服務提供商 (MSP) 或雲端服務提供商的攻擊中,都使用了密碼噴灑攻擊。
