Microsoft: duizenden organisaties doelwit van password spraying-aanvallen

[Captain Kirk]

Duizenden organisaties, onder andere in de satelliet-, farmaceutische en defensiesector, zijn sinds februari het doelwit van password spraying-aanvallen, zo stelt Microsoft. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt.

Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Zodra het de aanvallers lukt om op een account in te loggen, maken ze gebruik van zowel publiek beschikbare als zelfontwikkelde tools om het netwerk van de organisatie verder te verkennen, daar toegang toe te behouden en zich lateraal naar andere machines te bewegen. Bij een klein deel van de aanvallen maakten de aanvallers ook gegevens buit, aldus Microsoft.

Naast het gebruik van password spraying proberen de aanvallers ook door middel van bekende kwetsbaarheden in Zoho ManageEngine-producten (CVE-2022-47966) en Confluence Server en Data Center (CVE-2022-26134) bij organisaties binnen te dringen. Volgens Microsoft zijn de aanvallen het werk van een groep met de naam 'Peach Sandstorm', die vanuit Iran opereert. Daarbij lijken de aanvallers zich netjes aan kantooruren te houden, aangezien de aanvallen voornamelijk tussen 9.00 en 17.00 uur Iraanse tijd worden uitgevoerd. Om de aanvallen tegen te gaan adviseert Microsoft onder andere het instellen van multifactorauthenticatie (MFA).

 

bron: https://www.security.nl