Aanval op Wachtwoorden Microsoft 365

Botnet richt zich op Basic Auth in Microsoft 365 wachtwoord-sprayaanvallen

Een enorme botnet van meer dan 130.000 gecompromitteerde apparaten voert wereldwijd wachtwoord-sprayaanvallen uit op Microsoft 365 (M365) accounts, waarbij de focus ligt op basic authentication om multi-factor authenticatie te omzeilen. Volgens een rapport van SecurityScorecard maken de aanvallers gebruik van gestolen inloggegevens verkregen via infostealer malware om op grote schaal accounts te targeten.

De aanvallen maken gebruik van non-interactieve aanmeldingen via Basic Authentication (Basic Auth) om de beveiliging van Multi-Factor Authenticatie (MFA) te omzeilen en ongeautoriseerde toegang te verkrijgen zonder beveiligingswaarschuwingen te activeren. "Organisaties die uitsluitend vertrouwen op monitoring van interactieve aanmeldingen zijn blind voor deze aanvallen. Non-interactieve aanmeldingen, die vaak worden gebruikt voor service-tot-service authenticatie, verouderde protocollen (zoals POP, IMAP, SMTP) en geautomatiseerde processen, activeren in veel configuraties geen MFA," waarschuwt SecurityScorecard. "Basic Authentication, dat in sommige omgevingen nog steeds is ingeschakeld, stelt inloggegevens in platte tekst over te dragen, waardoor het een prime target voor aanvallers is."

Mislukte inlogpogingen door de botnet

Basic Auth is een verouderde authenticatiemethode waarbij de inloggegevens van een gebruiker in platte tekst of base64-gecodeerde vorm met elk verzoek naar een server worden verzonden. Het mist moderne beveiligingsfuncties zoals MFA en token-gebaseerde authenticatie. Microsoft is van plan om deze methode in september 2025 af te schaffen, en heeft het al voor de meeste Microsoft 365-diensten uitgeschakeld.

De recent ontdekte botnet maakt gebruik van Basic Auth-pogingen die gericht zijn op een groot aantal accounts met veelvoorkomende of gelekte wachtwoorden. Aangezien Basic Auth non-interactief is, worden aanvallers niet gevraagd om MFA wanneer er een match is met de geprobeerd inloggegevens. Vaak worden ze ook niet beperkt door Conditional Access Policies (CAP), waardoor ze stilletjes de inloggegevens van accounts kunnen verifiëren. Zodra de inloggegevens zijn geverifieerd, kunnen deze worden gebruikt om toegang te krijgen tot verouderde diensten die geen MFA vereisen of in meer geavanceerde phishing-aanvallen om de beveiligingsfunctie te omzeilen en volledige toegang tot het account te verkrijgen.

SecurityScorecard benadrukt ook dat je mogelijk tekenen van de wachtwoord-sprayaanvallen kunt zien in de Entra ID-logs, die een toename van inlogpogingen voor non-interactieve aanmeldingen, meerdere mislukte inlogpogingen vanuit verschillende IP-adressen en de aanwezigheid van de "fasthttp" user agent in de authenticatielogs kunnen tonen. In januari waarschuwde SpearTip voor dreigingsactoren die Microsoft 365 wachtwoordaanvallen uitvoerden met behulp van de FastHTTP Go-bibliotheek op een vergelijkbare manier, maar zij noemden de non-interactieve aanmeldingen niet. Het is onduidelijk of dit een nieuwere ontwikkeling van de botnet is om detectie te vermijden.

Mogelijke link naar Chinese dreigingsactoren

SecurityScorecard meldt dat de operators van de botnet waarschijnlijk verbonden zijn met Chinese actoren, hoewel er nog geen duidelijke of betrouwbare toeschrijving is. De botnet opereert via zes primaire command and control (C2) servers die worden gehost door de Amerikaanse provider Shark Tech, terwijl het verkeer wordt geproxied via het in Hongkong gevestigde UCLOUD HK en China-gebonden CDS Global Cloud. De C2-servers draaien op Apache Zookeeper en gebruiken Kafka om de operaties van de botnet te beheren. De systeemtijdzone op de C2-servers is ingesteld op Asia/Shanghai, terwijl hun uptime aangeeft dat de botnet actief is sinds minstens december 2024.

De botnet maakt gebruik van meer dan 130.000 gecompromitteerde apparaten om inlogpogingen over verschillende IP-adressen te verspreiden, wat helpt om te voorkomen dat ze worden gemarkeerd voor verdachte activiteiten en geblokkeerd worden. Organisaties moeten Basic Auth in Microsoft 365 uitschakelen, de in het rapport vermelde IP-adressen blokkeren, CAP's inschakelen om inlogpogingen te beperken en MFA op alle accounts gebruiken.

Zorgwekkende realiteit

De huidige situatie is uiterst zorgwekkend. De inzet van een dergelijke geavanceerde botnet, die gebruikmaakt van verouderde en onveilige authenticatiemethoden, vormt een ernstige bedreiging voor de beveiliging van Microsoft 365-accounts wereldwijd. Het is van cruciaal belang dat organisaties onmiddellijk actie ondernemen om hun systemen te beschermen en de risico's te minimaliseren. De tijd dringt, en het is noodzakelijk om proactief te zijn in het beveiligen van digitale middelen tegen deze groeiende dreiging.