微軟3月遭3波密碼攻擊，300家以色列企業(yè)被伊朗黑客盯上

3月3日，以色列某能源公司的IT管理員在日志里發(fā)現(xiàn)異常：同一時(shí)段內(nèi)，數(shù)十個(gè)員工賬戶收到來(lái)自不同IP的登錄請(qǐng)求，密碼都是"Welcome123"。13天后，第二波來(lái)了。再過(guò)10天，第三波。Check Point的安全團(tuán)隊(duì)后來(lái)統(tǒng)計(jì)，超過(guò)300家以色列組織、25家阿聯(lián)酋企業(yè)被卷入這場(chǎng)持續(xù)20天的密碼噴灑攻擊。

沒 malware，沒漏洞，就是猜密碼

這場(chǎng)攻擊的奇怪之處在于它的樸素。攻擊者沒有利用零日漏洞，沒有發(fā)送釣魚郵件，沒有部署勒索軟件。他們只是拿著一本常見密碼字典，對(duì)著微軟365的登錄接口批量嘗試。

密碼噴灑（Password Spraying）和暴力破解的區(qū)別，就像抽獎(jiǎng)和 stalking。暴力破解是盯著一個(gè)賬戶狂試幾千次密碼，容易被系統(tǒng)鎖死。密碼噴灑則是拿幾個(gè)最熱門的密碼——"Password1"、"Company2025"、"Spring2026"——去碰成千上萬(wàn)個(gè)賬戶，每個(gè)賬戶只試幾次，剛好卡在觸發(fā)警報(bào)的閾值之下。

Check Point的研究人員發(fā)現(xiàn)，攻擊者用了大量輪換的Tor出口節(jié)點(diǎn)作為跳板，User-Agent偽裝成IE10 on Windows 7。這種配置在現(xiàn)代企業(yè)環(huán)境里堪稱"考古"，但恰恰能混入正常的遺留系統(tǒng)流量中不被注意。

當(dāng)防御者還在盯著IP黑名單時(shí)，攻擊者已經(jīng)用"慢速+分散"的策略把登錄請(qǐng)求偽裝成了背景噪音。

第一波攻擊在3月3日啟動(dòng)時(shí)，目標(biāo)主要集中在以色列的政府機(jī)構(gòu)和能源企業(yè)。Check Point的分析師注意到一個(gè)細(xì)節(jié)：攻擊者對(duì)以色列市政系統(tǒng)的興趣，與3月份該地區(qū)的 kinetic operations（動(dòng)能作戰(zhàn)）時(shí)間線存在重疊。換句話說(shuō)，這些郵箱權(quán)限可能被用于評(píng)估轟炸破壞程度——不是網(wǎng)絡(luò)戰(zhàn)的抽象概念，是物理世界的坐標(biāo)確認(rèn)。

從Tor到商業(yè)VPN：身份偽裝的兩階段

攻擊的第二階段發(fā)生在憑證驗(yàn)證成功之后。Check Point的日志顯示，一旦某個(gè)賬戶的密碼匹配成功，后續(xù)的完整登錄流程會(huì)立刻切換來(lái)源——從Tor節(jié)點(diǎn)轉(zhuǎn)移到Windscribe和NordVPN的商業(yè)IP段，且地理位置被特意定位在以色列境內(nèi)。

這個(gè)切換的意圖很明顯：繞過(guò)微軟365的地理圍欄警報(bào)。很多企業(yè)配置了"禁止海外登錄"的策略，但"從以色列境內(nèi)登錄"不會(huì)觸發(fā)任何異常。攻擊者用幾十美元的VPN訂閱，把自己包裝成了剛出差回來(lái)的員工。

「攻擊者在成功認(rèn)證后表現(xiàn)出明顯的操作紀(jì)律，」Check Point的報(bào)告里寫道，「Tor用于偵察和試探，商業(yè)VPN用于維持訪問，兩個(gè)階段的基礎(chǔ)設(shè)施完全隔離。」

這種分工讓事件響應(yīng)變得棘手。安全團(tuán)隊(duì)如果只看到第二階段的VPN登錄，會(huì)把它標(biāo)記為"可能的憑證泄露"而非"持續(xù)的入侵活動(dòng)"。兩個(gè)階段的時(shí)間差可能只有幾分鐘，但日志來(lái)源完全不同，容易被人為拆成兩個(gè)無(wú)關(guān)的事件。

為什么基礎(chǔ)攻擊反而更難防

微軟365的租戶架構(gòu)設(shè)計(jì)，本意是讓企業(yè)把郵件、文檔、協(xié)作工具統(tǒng)一管理。但這也意味著：一個(gè)被攻破的賬戶，就是進(jìn)入整個(gè)組織數(shù)字資產(chǎn)的入口。攻擊者不需要在終端上安裝惡意軟件，不需要提權(quán)到域控，只需要一個(gè)有效的用戶名和密碼，就能在瀏覽器里翻完高管的收件箱。

Check Point統(tǒng)計(jì)了受影響組織的行業(yè)分布：政府實(shí)體、市政部門、能源集團(tuán)、私營(yíng)企業(yè)。沒有明顯的規(guī)律，除了地理集中度和"都用了微軟365"這一共同點(diǎn)。這種廣譜 targeting 暗示攻擊者的目標(biāo)可能是情報(bào)收集而非特定勒索——拿到什么算什么，郵箱內(nèi)容比加密數(shù)據(jù)更有長(zhǎng)期價(jià)值。

防御方的困境在于，密碼噴灑的檢測(cè)需要關(guān)聯(lián)分析，而大多數(shù)企業(yè)的安全運(yùn)營(yíng)中心還在依賴單點(diǎn)警報(bào)。"某賬戶登錄失敗3次"不會(huì)觸發(fā)工單，但"100個(gè)賬戶在同一秒被試了同一個(gè)密碼"應(yīng)該。問題是，后者需要跨賬戶的實(shí)時(shí)關(guān)聯(lián)，而日志往往分散在不同的SIEM（安全信息和事件管理）模塊里。

Check Point建議的緩解措施包括：?jiǎn)⒂枚嘁蛩卣J(rèn)證（MFA）、監(jiān)控異常的登錄時(shí)序模式、對(duì)Tor出口節(jié)點(diǎn)實(shí)施限制。但這些建議的落實(shí)率在中東地區(qū)的中小企業(yè)中參差不齊。微軟365的默認(rèn)配置并不強(qiáng)制MFA，而"用戶體驗(yàn)優(yōu)先"的安全策略在很多時(shí)候意味著"攻擊者也優(yōu)先"。

一個(gè)諷刺的對(duì)比：攻擊者為了隱藏自己，愿意承受Tor的延遲和VPN的跳變；而很多合法用戶因?yàn)镸FA多出的10秒步驟，選擇關(guān)閉它。

3月23日的第三波攻擊結(jié)束后，Check Point沒有觀察到后續(xù)的大規(guī)模數(shù)據(jù)泄露公開。這可能意味著攻擊者仍在消化獲取的權(quán)限，或者情報(bào)收集本身就是終點(diǎn)。對(duì)于被攻擊的組織來(lái)說(shuō)，最麻煩的不是已知損失，而是無(wú)法確定攻擊者在郵箱里待了多久、看了什么、轉(zhuǎn)發(fā)給了誰(shuí)。

微軟365的審計(jì)日志默認(rèn)保留90天，但高級(jí)攻擊者知道如何清理痕跡。Check Point的報(bào)告里提到一個(gè)技術(shù)細(xì)節(jié)：部分被入侵賬戶在登錄后出現(xiàn)了"郵件規(guī)則修改"的操作——自動(dòng)轉(zhuǎn)發(fā)特定主題的郵件到外部地址。這種規(guī)則一旦建立，攻擊者甚至不需要再次登錄就能持續(xù)接收情報(bào)。

密碼噴灑的低成本和高回報(bào)，讓它成為國(guó)家級(jí)攻擊者的常備選項(xiàng)。不需要開發(fā)漏洞利用工具，不需要購(gòu)買初始訪問權(quán)限，只需要耐心和一張常見密碼表。Check Point將此次活動(dòng)的歸因置信度評(píng)為"中等"，基于目標(biāo)選擇、區(qū)域聚焦和技術(shù)行為模式——但沒有提到具體的威脅組織名稱。這種克制的歸因方式，反映了網(wǎng)絡(luò)情報(bào)領(lǐng)域的普遍困境：知道是誰(shuí)的風(fēng)格，但缺乏法庭級(jí)別的證據(jù)鏈。

對(duì)于以色列和阿聯(lián)酋的安全團(tuán)隊(duì)來(lái)說(shuō)，3月的這三波攻擊留下了一個(gè)懸而未決的問題：當(dāng)攻擊者放棄技術(shù)炫技、回歸最基礎(chǔ)的憑證猜測(cè)時(shí)，你的檢測(cè)體系是否比一本密碼字典更敏銳？