M365-omgevingen in het Midden-Oosten zijn doelwit van cyberaanvallen

Dit meldt Check Point Research (CPR) op basis van onderzoek. De campagne richt zich op cloudomgevingen van overheidsinstanties, gemeenten, organisaties in de energiesector en bedrijven in de private sector, met name in Israël en de Verenigde Arabische Emiraten.

Wachtwoord-spraying

De aanvallers maken gebruik van wachtwoord-spraying, waarmee zij proberen in te loggen op meerdere accounts met dezelfde set zwakke of veelvoorkomende wachtwoorden. Deze methode gaat uit van de veronderstelling dat ten minste één gebruiker zwakke inloggegevens heeft. In deze campagne gebruikten de aanvallers meerdere bron-IP-adressen om detectie op basis van individuele indicatoren, zoals IP-adressen, te bemoeilijken. Deze techniek wordt vaak toegepast door geavanceerde dreigingsactoren en is eerder gebruikt door Iran-gerelateerde groepen zoals Peach Sandstorm en Gray Sandstorm voor initieel toegang en datadiefstal.

De campagne richt zich op verschillende sectoren, waarbij de Israëlische gemeentelijke sector de belangrijkste focus lijkt te zijn, zowel in het aantal doelwitorganisaties als in het volume van wachtwoord-spraypogingen per organisatie.

De aanval verloopt in drie fasen:

• Scannen: Er vindt intensieve wachtwoord-spraying plaats tegen honderden organisaties, voornamelijk in Israël en de Verenigde Arabische Emiraten. Deze scans worden uitgevoerd vanaf Tor-exitnodes, die regelmatig worden gewijzigd om blokkering te voorkomen. De scan maakt gebruik van een User-Agent die zich voordoet als Internet Explorer 10.
• Infiltreren: Deze fase begint wanneer de aanvaller geldige inloggegevens vindt. De aanvaller voert vervolgens het volledige inlogproces uit vanaf VPN-IP-adressen die zijn geolocaliseerd in Israël, om geografische beperkingen te omzeilen.
• Exfiltreren: Met behulp van geldige inloggegevens krijgt de aanvaller toegang tot gevoelige gegevens, zoals persoonlijke e-mailinhoud.

Vermoedelijk gerelateerd aan Iran

Check Point Research meldt met 'gematigd vertrouwen' in te schatten dat de actor achter deze activiteit afkomstig is uit Iran. Het wijst op de overeenkomsten met Iraanse belangen, waaronder het richten op Israëlische lokale overheden en organisaties in de satelliet-, luchtvaart-, energie- en maritimesectoren.

Analyse van M365-logboeken toont overeenkomsten met Gray Sandstorm, waaronder het gebruik van red-teamtools voor deze aanvallen via Tor-exitnodes. De dreigingsactor maakte gebruik van commerciële VPN-knooppunten die zijn gehost bij AS35758 (Rachamim Aviel Twito), wat aansluit bij recente activiteiten van Iran-gerelateerde operaties in het Midden-Oosten.

Aanbevelingen

Check Point Research geeft ook advies voor organisaties die zich tegen dergelijke aanvallen willen wapenen:

• Detecteer afwijkingen bij wachtwoord-spraying: Monitor inlogregistraties om patronen van wachtwoord-spraying te identificeren, met name meerdere mislukte authenticatiepogingen op verschillende gebruikersaccounts vanaf hetzelfde bron-IP-adres.
• Beperk toegang met geo-fencing en TOR-IP-blokkering: Pas voorwaardelijke toegangcontroles toe om authenticatie te beperken tot goedgekeurde geografische locaties en blokkeer hoogrisico-anonimiseringsnetwerken, waaronder TOR-exitnodes.
• Voer MFA in en versterk wachtwoordhygiëne: Voer multi-factor authenticatie (MFA) in voor alle gebruikers binnen de organisatie, met strengere controles voor bevoorrechte en administratieve rollen. Daarnaast is het belangrijk om sterke wachtwoordhygiëne te handhaven, waaronder regelmatige wachtwoordupdates waar dit vereist is door beleid en risicoprofiel.
• Schakel auditlogs in voor onderzoek na compromittering: Zorg ervoor dat auditlogboeken zijn ingeschakeld en voldoende worden bewaard om post-authenticatieactiviteiten te onderzoeken na een vermoedelijke succesvolle wachtwoord-sprayaanval.

Meer informatie is hier beschikbaar.