新たに発見されたイラン関連ハッカーによるサイバーキャンペーンが、中東全域のMicrosoft 365ユーザーを積極的に標的にしている。
Check Point Researchによると、攻撃者は「パスワードスプレイ」として知られる手法を使用して、政府機関、エネルギー企業、民間企業のクラウド環境に侵入している。
イスラエルおよびアラブ首長国連邦(UAE)の組織が主な標的であり、進行中の地域紛争の中でイスラエル自治体セクターが最も多数の攻撃を受けている。
このキャンペーンはエンタープライズネットワークを侵害するための構造化された3段階の攻撃サイクルに従っている。
スキャニングフェーズの間、ハッカーは数百の組織に対して強力なパスワードスプレイ攻撃を仕掛ける。
足跡を隠しブロックされるのを避けるため、彼らはTor出口ノードを通じてトラフィックをルーティングし、接続ポイントを絶えず変更している。
彼らはまた、ウェブブラウザ識別子を使用して活動を偽装し、トラフィックが古いバージョンのInternet Explorer 10からのものに見える。
攻撃者が有効なユーザー名とパスワードの推測に成功すると、彼らは浸透フェーズに進む。
通常でない国からのログインをブロックするジオフェンシングのようなセキュリティ対策をバイパスするため、ハッカーはWindscribeやNordVPNのような商用VPNサービスを使用している。
イスラエルに物理的に位置するVPNサーバーを選択することで、彼らはシステムをだまし、ログイン試行がローカルの認可されたユーザーからのものだと思わせる。
最後に、流出フェーズで、攻撃者は盗まれた認証情報を使用して侵害されたMicrosoft 365アカウントにアクセスする。そこから、個人メールをこっそり読み、機密ビジネスデータを盗み、即座のアラーム警告をトリガーすることなく内部通信を監視することができる。
Check Point Researchは、中程度の確信を持って、このアクティビティはイランに起源すると述べている。標的はイラン政府の既知の利益と密接に一致し、具体的には地方自治体と航空、エネルギー、海上操業などの重要インフラセクターに焦点を当てている。
このタクティクスは、Torネットワークおよびレッドチームツールを使用してサイバースパイを実行することで知られている確立されたイラン系ハッキンググループ「Gray Sandstorm」のものと密接に類似している。
さらに、攻撃で使用された特定の商用VPNノードは、イラン関連アクターに関連する最近の中東作戦と一致する。
これらの高度なパスワードスプレイキャンペーンからMicrosoft 365環境を保護するため、組織は複数の重要なセキュリティ防御を実装すべきである。
認証情報の衛生を強化し、これらのステルスログインパターンを積極的に監視することで、組織はパスワードスプレイ攻撃の被害に遭うリスクを大幅に減らすことができる。
翻訳元: https://cyberpress.org/iran-sprays-m365-tenants/