Storm-0940’s werkwijze berust op de toegang tot en controle over routers om password spray-aanvallen uit te voeren, waarbij elke poging vaak beperkt blijft tot één keer per account per dag om detectie te vermijden. Op deze manier hebben hackers verschillende organisaties geïnfiltreerd door geldige inloggegevens te verkrijgen, waarmee ze dieper toegang hebben tot interne netwerken. Zodra een router is gecompromitteerd, installeren de aanvallers backdoors en SOCKS5-proxyservers, waardoor ze doorlopend toegang hebben en het moeilijk wordt om de bron van de aanvallen te traceren. Microsoft schat dat CovertNetwork-1658 op elk moment ongeveer 8.000 actieve apparaten omvat, waarvan ongeveer 20% actief betrokken is bij password spray-operaties, wat grootschalige campagnes mogelijk maakt.
Microsoft raadt aan om robuuste beveiligingspraktijken toe te passen om deze groeiende dreiging tegen te gaan, waaronder het gebruik van multi-factor authenticatie (MFA) en voorwaardelijke toegangsbeleid. Ook wordt het gebruik van wachtwoordloze authenticatiemethoden zoals Windows Hello en FIDO aangemoedigd, evenals regelmatige monitoring en identiteitsbescherming in Azure AD. Door deze verdedigingen te versterken, kunnen organisaties zich beter beschermen tegen grootschalige aanvallen op inloggegevens, uitgevoerd door groepen zoals Storm-0940. Ondanks een afname in de activiteit van CovertNetwork-1658 na blootstelling, waarschuwt Microsoft dat aanvallers mogelijk op zoek zijn naar nieuwe infrastructuur, wat de noodzaak van voortdurende waakzaamheid en bijgewerkte beveiligingsmaatregelen onderstreept.
Source: Hardware Upgrade
De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.