Riesiges chinesisches Botnetz mit 130.000 Geräten zielt auf Microsoft 365-Konten ab

Von Mura in Computersicherheit

Übersetzen Sie in:

Ein mächtiges, mit China verbundenes Botnetz wurde dabei erwischt, wie es groß angelegte Passwort-Spraying-Angriffe auf Microsoft 365-Konten startete und Unternehmen und Organisationen damit einem ernsthaften Risiko aussetzte. Laut SecurityScorecard wird dieses Botnetz von sage und schreibe 130.000 kompromittierten Geräten betrieben, was es zu einer der größten Cyberbedrohungen seiner Art macht.

Inhaltsverzeichnis

So funktioniert der Angriff

Dieses Botnetz nutzt nicht-interaktive Anmeldungen und die grundlegende Authentifizierung aus, zwei Schwachstellen in der Microsoft 365-Sicherheit, die es Angreifern ermöglichen, gestohlene Anmeldeinformationen zu testen, ohne in vielen Konfigurationen eine mehrstufige Authentifizierung auszulösen.

Nicht-interaktive Anmeldungen werden häufig für die Service-to-Service-Authentifizierung und ältere Protokolle wie POP, IMAP und SMTP verwendet, wodurch sie von Sicherheitsteams weniger genau unter die Lupe genommen werden. Die von Microsoft veraltete Basisauthentifizierung ist in einigen Umgebungen immer noch aktiv und ermöglicht die Übertragung von Anmeldeinformationen im Klartext – ein leichtes Ziel für Hacker.

Das Botnetz nimmt gestohlene Benutzernamen und Passwörter, die oft von Infostealer-Malware gesammelt wurden, und testet sie systematisch mit Microsoft 365-Konten. Wenn dies gelingt, erhalten Angreifer Zugriff auf vertrauliche Daten, stören den Geschäftsbetrieb und können sich innerhalb einer Organisation seitlich bewegen.

Warum dieser Angriff schwer zu erkennen ist

Einer der beängstigendsten Aspekte dieses Angriffs ist seine Heimlichkeit. Da Password-Spraying-Versuche unter nicht-interaktiven Anmeldungen protokolliert werden, überwachen viele Sicherheitsteams diese Aufzeichnungen nicht genau. Dies ermöglicht es Angreifern, unbemerkt zu bleiben, während sie systematisch versuchen, in Konten einzudringen.

SecurityScorecard identifizierte außerdem Befehls- und Kontrollserver in den USA, die über einen Zeitraum von vier Stunden mit 130.000 infizierten Geräten kommunizierten. Diese Geräte, die wahrscheinlich Teil eines größeren globalen Netzwerks sind, ermöglichen es den Angreifern, ihre Operationen schnell auszuweiten.

Wer steckt hinter dem Botnetz?

Obwohl der Angriff mit einer chinesischen Bedrohungsgruppe in Verbindung gebracht wurde, wird noch untersucht, wer der Täter ist. Dieses Botnetz weist jedoch Merkmale auf, die bereits zuvor identifiziert wurden, wie etwa chinesische Cyber-Spionagekampagnen.

Insbesondere berichtete Microsoft im Oktober 2024, dass mehrere chinesische Bedrohungsakteure gestohlene Anmeldeinformationen aus einer groß angelegten Passwort-Spraying-Operation verwendeten. Diese Kampagne war mit kompromittierten Netzwerken verbunden, die als CovertNetwork-1658, Xlogin und Quad7 bekannt sind.

So schützen Sie Ihr Unternehmen

Da dieses Botnetz gezielt Microsoft 365-Konten angreift, müssen Unternehmen umgehend Maßnahmen ergreifen, um ihre Sicherheit zu erhöhen:

Deaktivieren Sie die Basisauthentifizierung, falls sie in Ihrer Umgebung noch aktiviert ist.
Aktivieren Sie die moderne Authentifizierung und die mehrstufige Authentifizierung für alle Benutzer, insbesondere für nicht interaktive Anmeldungen.
Überwachen Sie nicht-interaktive Anmeldeprotokolle regelmäßig auf ungewöhnliche Anmeldemuster.
Verwenden Sie sichere, eindeutige Passwörter, um Password Spraying zu verhindern, indem Sie strenge Passwortrichtlinien implementieren und regelmäßige Änderungen erzwingen.
Setzen Sie Endpunkt-Sicherheitslösungen ein, um sich vor Infostealer-Malware zu schützen, die Hacker zum Sammeln von Anmeldeinformationen verwenden.
Beschränken Sie wenn möglich den Zugriff auf Microsoft 365-Konten geografisch, indem Sie die Anmeldungen auf der Grundlage geografischer Standorte begrenzen.

Abschließende Gedanken

Das Botnetz mit 130.000 Geräten, das auf Microsoft 365 abzielt, ist ein deutlicher Hinweis darauf, dass passwortbasierte Angriffe auch heute noch eine der größten Bedrohungen für die Cybersicherheit darstellen. Da viele Organisationen immer noch auf veraltete Authentifizierungsmethoden setzen, nutzen Angreifer diese Schwachstellen weiterhin aus.

Durch die proaktive Absicherung von Microsoft 365-Umgebungen, die Überwachung ungewöhnlicher Aktivitäten und die Durchsetzung strenger Authentifizierungsrichtlinien können Unternehmen das Risiko verringern, Opfer dieses hochentwickelten Angriffs zu werden.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern