Iran nhắm vào các tài khoản Microsoft 365 bằng kỹ thuật xả mật khẩu

Iran nhắm vào các tài khoản Microsoft 365 bằng kỹ thuật xả mật khẩu

Các nhà nghiên cứu an ninh mạng đã phát hiện các cuộc tấn công nhắm vào hàng trăm tổ chức, chủ yếu ở Trung Đông, sử dụng kỹ thuật "xả mật khẩu" (password-spraying) để truy cập vào các tài khoản Microsoft 365. Các cuộc tấn công này, được cho là có liên quan đến Iran, được cho là nhằm mục đích hỗ trợ đánh giá thiệt hại sau các cuộc pháo kích tên lửa.

Check Point Research, trụ sở tại Tel Aviv, đã báo cáo rằng kẻ tấn công đã sử dụng nhiều địa chỉ IP khác nhau để nhắm vào hàng trăm tài khoản M365, ảnh hưởng đến hơn 300 tổ chức tại Israel và hơn 25 tổ chức tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE). Trong khi hầu hết các cuộc tấn công tập trung vào hai quốc gia Trung Đông này, nhóm này cũng theo dõi hoạt động tương tự đối với một "số lượng hạn chế" các mục tiêu tại Mỹ, Châu Âu và Ả Rập Xê Út.

Các cuộc tấn công diễn ra trong ba đợt vào ngày 3, 13 và 23 tháng 3. Các nhóm tin tặc có liên quan đến Iran, bao gồm Peach Sandstorm và Gray Sandstorm thuộc Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC), được biết đến là sử dụng phương pháp này để lấy quyền truy cập ban đầu vào môi trường Microsoft 365 của nạn nhân và đánh cắp thông tin nhạy cảm.

Ngành công nghệ (63 lần cố gắng), vận tải và logistics (32 lần), y tế (28 lần) và sản xuất (28 lần) cũng là những mục tiêu bị tấn công. Các tổ chức thành phố chịu ảnh hưởng nặng nề nhất, đóng vai trò then chốt trong việc phản ứng với thiệt hại vật lý sau các cuộc pháo kích. Nghiên cứu cũng chỉ ra sự tương quan giữa các tổ chức bị tấn công và các thành phố là mục tiêu của các cuộc tấn công tên lửa, cho thấy chiến dịch này có thể được thực hiện để hỗ trợ các hoạt động vũ trang và đánh giá thiệt hại sau khi ném bom (BDA).

Giai đoạn đầu của cuộc tấn công - xả mật khẩu - liên quan đến việc gửi hàng trăm yêu cầu đăng nhập với các mật khẩu yếu đến hàng trăm tài khoản Microsoft 365. Kẻ tấn công thực hiện các quét này sử dụng các nút thoát Tor thường xuyên thay đổi và một User-Agent giả mạo Internet Explorer 10 (IE10). Sau khi tìm thấy thông tin đăng nhập hợp lệ, kẻ tấn công sẽ đăng nhập từ nhiều địa chỉ IP VPN được định vị tại Israel (phạm vi IP Windscribe hoặc NordVPN) để tránh các hạn chế dựa trên địa lý. Họ sau đó sử dụng thông tin đăng nhập hợp lệ để truy cập vào thư điện tử cá nhân và các dữ liệu nhạy cảm khác.

Các cuộc tấn công nhắm vào Microsoft 365 diễn ra khi một nhóm khác liên quan đến Iran đã hack email cá nhân của Giám đốc FBI Kash Patel, cáo buộc đã rò rỉ hồ sơ và ảnh của ông ta, cảnh báo: "Đây chỉ là bước đầu tiên của chúng tôi".