Stort botnet angriber Microsoft 365-konti

Eskil Sørensen
02.25.2025 09:47
Angriberne udnytter svagheder i godkendelsessystemet for at omgå sikkerhedsforanstaltninger.

Et omfattende botnet med over 130.000 kompromitterede enheder er i gang med en målrettet angrebskampagne mod Microsoft 365-konti. Ifølge HelpNet Security benytter angriberne en avanceret password-spraying-teknik, der gør det muligt at teste svage adgangskoder i stor skala, uden at udløse kontolåsninger eller sikkerhedsadvarsler.

Sikkerhedsforskere fra SecurityScorecard, som overvåger angrebene, har fundet tegn på, at en del af infrastrukturen kan være knyttet til kinesiske aktører. Blandt andet er botnettet forbundet til cloud-tjenester som CDS Global Cloud og UCLOUD HK, der har operationelle forbindelser til Kina. Derudover benytter trusselsaktørerne servere fra SharkTech, en amerikansk hostingudbyder, der tidligere er blevet anvendt til ondsindede cyberangreb.

Udnytter mindre overvågede loginmetoder

I stedet for at angribe gennem traditionelle interaktive loginforsøg, som ofte udløser MFA-krav eller sikkerhedspolitikker, fokuserer angriberne på Non-Interactive Sign-Ins. Som HelpNet Security forklarer, gør denne teknik det muligt at forsøge login uden at skabe mistanke, fordi disse autentifikationsmetoder ofte anvendes til service-til-service-kommunikation.

Ved at udnytte dette smuthul kan angriberne forsøge mange forskellige adgangskoder uden at risikere, at konti låses eller at sikkerhedsalarmer aktiveres. Dette er særligt farligt i miljøer, hvor adgangskoder ikke opdateres regelmæssigt eller hvor ældre konti stadig er aktive.

Udsatte sektorer

Ifølge HelpNet Security er en række sektorer særligt udsatte for denne type angreb:

  • Finans og forsikring – cyberkriminelle søger at få adgang til konti med finansielle data og betalingsoplysninger.
  • Sundhedssektoren – adgang til patientjournaler og medicinske systemer kan bruges til afpresning eller datatyveri.
  • Offentlige institutioner og forsvar – mål for statsstøttede trusselsaktører, der søger at infiltrere myndigheder og kritisk infrastruktur.
  • Teknologisektoren og cloud-udbydere – angribere kan udnytte kompromitterede konti til at sprede angreb gennem forsyningskæden.
  • Uddannelses- og forskningsinstitutioner – universiteter og forskningscentre er ofte i søgelyset for datatyveri og spionage.

Flere sikkerhedstiltag nødvendige

For at mindske risikoen anbefaler HelpNet Security en række tiltag, der går ud over blot at skifte adgangskoder:

  • Gennemgå logs for Non-Interactive Sign-Ins og overvåg mistænkelig aktivitet.
  • Ændr adgangskoder regelmæssigt for at mindske risikoen ved lækkede credentials.
  • Deaktiver ældre godkendelsesmetoder, såsom Basic Authentication, som ofte udnyttes i password-spraying-angreb.
  • Implementér Conditional Access Policies, så adgang kun gives til betroede enheder og netværk.
  • Overvåg for eksponerede loginoplysninger, da angriberne ofte benytter credentials fra tidligere datalæk.

Microsoft har allerede annonceret, at de vil fjerne Basic Authentication helt inden september 2025, men som HelpNet Security påpeger, viser den igangværende kampagne, at organisationer allerede nu bør implementere stærkere autentifikationsmetoder, før angriberne finder endnu flere smuthuller.

 

Læs mere

Information