Dispositivos IoT en una botnet de pulverización de contraseñas
Microsoft es advertencia Usuarios de la nube de Azure que una botnet controlada por China está realizando una pulverización de contraseñas “altamente evasiva”. No estoy seguro de la parte “muy evasiva”; Las técnicas son esencialmente similares a las que se obtienen en un ataque distribuido de adivinación de contraseñas:
“Cualquier actor malicioso que utilice la infraestructura CovertNetwork-1658 podría llevar a cabo campañas de pulverización de contraseñas a mayor escala y aumentar significativamente la probabilidad de comprometer con éxito las credenciales y el acceso inicial a múltiples organizaciones en un corto período de tiempo”, escribieron funcionarios de Microsoft. “Esta escala, combinada con la rápida rotación operativa de credenciales comprometidas entre CovertNetwork-1658 y los actores de amenazas chinos, permite el potencial de compromiso de cuentas en múltiples industrias y geografías. »
Algunas de las características que dificultan la detección son:
- El uso de direcciones IP SOHO comprometidas
- Usar un conjunto rotativo de direcciones IP en un momento dado. Los actores de amenazas tenían miles de direcciones IP disponibles. El tiempo de actividad promedio de un nodo CovertNetwork-1658 es de aproximadamente 90 días.
- El proceso de pulverización de contraseñas de bajo volumen; por ejemplo, monitorear múltiples intentos fallidos de inicio de sesión desde una dirección IP o cuenta no detectará esta actividad.
Publicado el 6 de noviembre de 2024 a las 7:02 am • 0 comentarios
Foto lateral de Bruce Schneier por Joe MacInnis.