Storm-0940 basa i suoi attacchi sull’accesso e controllo dei router per avviare password spray, spesso limitando ogni tentativo a uno per account al giorno per evitare il rilevamento. Attraverso questo metodo, gli hacker hanno infiltrato varie organizzazioni, ottenendo credenziali di accesso valide per l’accesso alle reti interne. Una volta compromesso un router, gli attaccanti installano backdoor e server proxy SOCKS5, permettendo un accesso continuo e rendendo difficile rintracciare la fonte degli attacchi. Microsoft stima che CovertNetwork-1658 conti circa 8.000 dispositivi attivi in qualsiasi momento, con il 20% di essi attivamente coinvolto in operazioni di password spray, consentendo campagne su larga scala.
Per contrastare questa crescente minaccia, Microsoft consiglia l’uso di pratiche di sicurezza avanzate, come l’autenticazione a più fattori (MFA) e politiche di accesso condizionale. Si incoraggia inoltre l’uso di autenticazione senza password, come Windows Hello e FIDO, insieme a un monitoraggio regolare e alla protezione delle identità in Azure AD. Migliorare queste difese consente alle organizzazioni di proteggersi meglio dalle compromissioni delle credenziali su larga scala. Nonostante una diminuzione dell’attività di CovertNetwork-1658 a seguito dell’esposizione, Microsoft avverte che gli attaccanti potrebbero cercare nuove infrastrutture, evidenziando la necessità di una vigilanza continua e di pratiche di sicurezza aggiornate.
Source: Hardware Upgrade
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.