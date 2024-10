De FBI, de Amerikaanse geheime dienst NSA, alsmede de Australische en Canadese autoriteiten, waarschuwen organisaties in de vitale infrastructuur voor aanvallen, waarbij aanvallers door middel van password spraying en 'push bombing', ook bekend als MFA fatigue, toegang tot accounts weten te krijgen en daarvandaan verdere aanvallen uitvoeren.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Bij 'MFA fatigue' beschikt de aanvaller over de inloggegevens van het doelwit, maar niet de multifactorauthenticatie (MFA)-code om de inlogprocedure succesvol af te ronden.

Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang tot het account krijgt. Zodra de aanvallers toegang tot een account hebben registreren ze hun eigen apparaten met MFA, om zo hun toegang tot de omgeving via het geldige account te beschermen. Onder andere Microsoft 365-, Azure- en Citrix-accounts zijn doelwit van de aanvallen.

De aanvallers gebruiken ook het Remote Desktop Protocol (RDP) om zich lateraal door het netwerk te bewegen. In zeker één geval gebruikten de aanvallers Microsoft Word om PowerShell te starten en zo het RDP-bestand te openen. De FBI en NSA zijn met meerdere gevallen bekend waarbij de aanvallers succesvol vitale organisaties compromitteerden. In de waarschuwing geven de autoriteiten ook verschillende adviezen om de aanvallen te voorkomen en detecteren, waaronder het uitschakelen van accounts van vertrokken medewerkers, het controleren of één ip-adres voor meerdere accounts wordt gebruikt, verdachte activiteit bij inactieve accounts en het uitschakelen van RC4 for Kerberos authentication.