针对美国军事防务机构进行Office 365间谍攻击

研究人员发现了一个名为DEV-0343的网络组织攻击了美国和以色列的国防技术公司、波斯湾的入境港口以及与中东有关的全球海上运输公司。该威胁组织的攻击方式主要是接管微软Office 365账户。

微软在2021年7月底开始追踪这些攻击活动，并在发布的一份警报中详细介绍了这些攻击手法，并补充说，该罪犯似乎一直在从事网络间谍活动，同时该组织与伊朗有联系，并且网络攻击者正在对Office 365账户进行大面积的密码喷洒攻击。

密码喷洒攻击是针对在线账户使用大量用户名和一系列不同密码进行攻击的过程，攻击者希望找到正确的密码并获得对受密码保护账户的访问权限。微软表示，在这种情况下，攻击者通常会对每个目标组织内的几十个到几百个账户进行攻击，并且会对每个账户尝试数千个凭证组合。

据该公司称，到目前为止，该活动已对大约250个使用微软云办公套件的组织进行了攻击，其中有将近20个组织受到了影响。然而，该计算巨头警告说，DEV-0343在继续完善他们的攻击技术。

据分析，目前发现的攻击源使用的是一个Firefox或Chrome浏览器，并在Tor代理网络上使用轮换的IP地址进行攻击。微软说，平均下来，每次攻击都会使用150到1000个独立的IP地址，攻击者这样做是为了混淆攻击的来源，增加攻击溯源的难度。

研究人员说，每次进行密码爆破攻击都改变IP地址正在成为威胁集团中的一个很常见的攻击技术，通常情况下，威胁集团会随机使用他们用户代理以及IP地址进行攻击。由于现在出现的提供大量住宅IP地址的服务使得该技术很容易实现。而这些服务往往是通过浏览器插件来启用的。

使用这种代理地址使得开发指标或IoCs变得非常困难，但微软在攻击中观察到的攻击模式还包括：

1、来自Tor IP地址的大量入站流量用于密码喷射攻击活动

2、在密码喷洒活动中模拟FireFox（最常见）或Chrome浏览器

3、枚举Exchange ActiveSync（最常见）或Autodiscover端点

4、使用类似于"o365spray "工具的枚举/密码喷射工具

5、使用Autodiscover来验证账户和密码

攻击者通常会针对两个Exchange端点--Autodiscover和ActiveSync来进行他们的枚举/密码喷洒攻击。据微软称，这使得DEV-0343能够很容易验证活动账户和密码，并进一步完善他们的密码喷洒攻击活动。

据称与伊朗有关

该集团使用的带有 "DEV "的名称只是微软临时指定的名称，它代表着一个在不断壮大的攻击活动群体。在对攻击者有了更多了解后，微软将会给它取一个永久性的名字。

但目前，有证据表明攻击者是伊朗人。例如，微软说，他们会专门针对制造军用级雷达、无人机技术、卫星系统、应急通信系统、地理信息系统（GIS）和空间分析的公司，以及港口和运输公司进行攻击。微软表示，这与伊朗以前对航运和海上目标的攻击的特点基本吻合。

该公司指出，根据攻击模式分析，这一威胁集团可能一直在支持伊朗伊斯兰共和国的国家利益，并且该模式与来自伊朗的另一个攻击者在技术上非常相似。

另外，该组织在伊朗当地时间周日至周四上午7:30至晚上8:30之间最为活跃，微软公司也在上午7:30至下午2:30之间观察到了密码喷射攻击的高峰。

如何防止office 365被攻击

为了防止密码喷射攻击，微软建议用户首先要启用多因素认证。或者使用其他防御策略来保护账户，比如像Microsoft Authenticator这样的无密码解决方案；审查Exchange Online访问策略；阻止ActiveSync客户端绕过条件访问策略；并尽可能阻止来自匿名服务的所有传入流量。