警报！大规模僵尸网络正对微软365用户发起密码喷射攻击（password-spraying attacks）

主要观点总结

文章主要描述了一个针对微软365用户的大规模僵尸网络攻击事件。攻击者利用基本身份验证进行非交互式登录，存在监测盲点，并增加了账户接管风险，可能引发敏感数据泄露等恶意活动。

关键观点总结

关键观点1: 大规模僵尸网络攻击Microsoft 365用户

自2024年12月起，一个由超130台被攻陷服务器组成的大规模僵尸网络，正对Microsoft 365用户发动大规模密码喷射攻击。

关键观点2: 攻击者利用基本身份验证进行非交互式登录

攻击者无需多因素认证即可完成登录，存在监测盲点，增加了账户接管风险。

关键观点3: 攻击者通过信息窃取日志获取被盗凭证

研究人员指出这一漏洞可能导致敏感数据泄露、业务运营中断等后果。

关键观点4: 攻击者具备专业软件知识，使用分布式协调框架Apache ZooKeeper

研究人员强调攻击者展现了复杂的工程能力，表明他们具备专业的软件知识。

关键观点5: 研究人员的建议

研究人员呼吁废除基本身份验证、实时监控登录行为模式，并部署密码喷射攻击检测机制，同时定期筛查泄露凭证库以更新认证策略。

文章预览

安小圈 第612期 网络攻击 · 微软365用户   自2024年12月起，一个由超130台被攻陷服务器组成的大规模僵尸网络，正对Microsoft 365（前身为Office 365）用户发动大规模密码喷射攻击。 据Strike研究人员称，攻击者利用基本身份验证进行非交互式登录，该方式无需多因素认证（MFA）即可完成登录，导致安全团队存在监测盲点。攻击者通过信息窃取日志获取被盗凭证，在密码喷射攻击中以单一密码同时攻击多个账户。 研究人员指出，这一漏洞增加了账户接管风险，可能引发敏感数据泄露、业务运营中断，以及利用被控账户实施次级恶意活动。 攻击源自高水平的威胁行为者 Strike在分析微软365用户的非交互式登录日志时，发现大量异常失败尝试。其合作伙伴的网络流量数据显示，可疑IP地址中： 1、204.188.210.226（由SharkTech托管）存在活跃恶意行为 2、11个IP地址已 ………………………………