yankywilson/iranian-apt-m365-threat-intel

# 伊朗支持的凭证窃取活动针对犹太组织 ## TLP:WHITE — 可公开分享 **活动期间：** 2026年3月2日 – 2026年3月31日（持续中） **目标行业：** 犹太宗教和文化机构（美国境内） **云环境：** Microsoft 365 / Entra ID **评估归因：** 伊朗政府支持，TTP与Peach Sandstorm（APT33）一致 **状态：** 无确认入侵。所有攻击均被MFA和条件访问阻止。 ## 执行摘要 2026年3月初，观察到针对美国境内犹太组织Microsoft 365租户的多向量凭证窃取活动持续进行。该活动在3月24日显著升级，与2月28日美以两国对伊朗发动空袭后，伊朗针对欧洲和北美犹太机构更广泛行动浪潮相吻合。 在30天内，该活动产生了**1,000+账户锁定事件**，来自**1,355个唯一IP地址**，跨越**三个并发攻击向量**，针对**24个用户账户**。 攻击者展示了对目标组织的事先侦察，包括对多个域名、组织领导层和员工结构的了解。 ## 活动时间线 | 日期 | 事件 | |---|---| | 2026年2月28日 | 美国/以色列对伊朗发动联合空袭 | | 2026年3月2日 | 首次观察到针对目标组织的凭证攻击 | | 2026年3月9-14日 | 伊朗关联的恐怖袭击针对比利时和荷兰的犹太场所 | | 2026年3月24日 | 重大升级 — 同时开始密码喷洒、SMTP填充和Azure CLI暴力破解。与伦敦Hatzola纵火案和安特卫普犹太区袭击同一天 | | 2026年3月31日 | 活动持续中，攻击者确认持有至少一个账户的有效凭证（被MFA/CA阻止） | ## 攻击向量 ### 活动1 — Azure AD PowerShell密码喷洒 **MITRE ATT&CK：** T1110.003（密码喷洒），T1078.004（云账户） | 属性 | 值 | |---|---| | 应用程序 | `Azure Active Directory PowerShell` | | User Agent | `Mozilla/5.0`（通用，无浏览器详情） | | 认证要求 | 仅需单因素 | | IP轮换 | 25个唯一IP，跨越VPN/代理提供商 | | 目标 | 8个指定账户，按组织职级优先排序 | 这是最令人担忧的活动。攻击者使用Azure AD PowerShell（合法的Microsoft管理工具）针对高价值账户列表喷洒凭证。通用的`Mozilla/5.0` User Agent（无浏览器、操作系统或版本详情）是脚本化/自动化工具的强烈指示，而非真实浏览器。 此TTP直接匹配Microsoft发布的关于**Peach Sandstorm（APT33）**的报告，该报告记录了这个伊朗组织使用Azure AD PowerShell进行初始访问，随后使用AzureHound和Roadtools进行事后侦察。 **基础设施（VPN/代理托管）：** | ASN | 提供商 | 观察到的IP | |---|---|---| | AS206092 | SECFIREWALLAS / F.N.S. Holdings | 7 | | AS62240 | Cloudvider | 8 | | AS137409 | RAHATCOM | 5 | | AS396356 | MaxiHost | 3 | | AS14061 | DigitalOcean | 2 | | AS212238 | Datacamp Ltd | 2 | 一个值得注意的事件：观察到来自VPN出口节点（AS396356，德克萨斯州达拉斯）的手动交互式浏览器登录尝试（Windows 10上的Firefox 102），表明人类操作者 — 而非仅自动化工具 — 尝试访问受害者的webmail门户。 ### 活动2 — 通过僵尸网络的SMTP凭证填充 **MITRE ATT&CK：** T1110.004（凭证填充），T1078.004（云账户） | 属性 | 值 | |---|---| | 协议 | SMTP基本认证（ROPC） | | User Agent | `BAV2ROPC` | | IP轮换 | 120个唯一IP，跨越26+个国家 | | 分布 | 住宅/ISP IP — 僵尸网络基础设施 | | 目标 | 8个邮箱账户 | 针对Exchange Online SMTP端点的大规模凭证填充，使用传统基本认证通过资源所有者密码凭证（ROPC）流程。`BAV2ROPC` User Agent由Microsoft的传统认证管道生成，表示直接提交SMTP凭证。 源IP的全球分布（集中在中国、印度、韩国、巴西和俄罗斯）跨越住宅ISP地址空间，与受损的IoT或住宅代理僵尸网络一致，而非VPN基础设施。 **主要来源国家：** | 国家 | IP数量 | |---|---| | 中国 | 26 | | 印度 | 24 | | 韩国 | 16 | | 巴西 | 9 | | 美国 | 9 | | 俄罗斯 | 6 | **主要来源ASN：** | ASN | 提供商 | 类型 | 事件 | |---|---|---|---| | AS9498 | BSNL（印度） | 住宅ISP | 21 | | AS4766 | Korea Telecom | 住宅ISP | 11 | | AS4837 | China Unicom | 住宅ISP | 9 | | AS4134 | ChinaNet | 住宅ISP | 5 | | AS9808 | China Mobile | 住宅ISP | 5 | ### 活动3 — 来自卢森堡VPS的Azure CLI暴力破解 **MITRE ATT&CK：** T1110.001（暴力破解），T1078.004（云账户） | 属性 | 值 | |---|---| | 应用程序 | `Microsoft Azure CLI` | | User Agent | `node-fetch` | | 来源 | AS53667（FranTech/BuyVM，卢森堡）上的IPv6地址 | | IP范围 | `2605:6400::/32` | | 目标 | 3个账户 | 使用Azure CLI从卢森堡的VPS提供商进行自动化暴力破解，在同一/32分配内轮换IPv6地址。`node-fetch` User Agent表示基于Node.js的攻击工具。 ## 攻击模式 攻击者在启动活动前展示了明确的**组织侦察**： - **按职级优先排序目标** — 组织所有者/CEO收到的尝试次数是任何其他账户的3倍 - **了解同一组织的多个域名** - **构建了分层目标列表** — 主要目标（领导层）、次要目标（员工）和枚举探测（常见名字猜测） - **从自动化进展到手动** — 喷洒活动失败后，人类操作者尝试对最高价值账户进行交互式浏览器登录 这不是机会主义的喷洒。这是针对特定组织的定向访问操作。 ## 入侵指标 ### 活动1 — Azure AD PowerShell喷洒IP ``` 45.55.70.66 45.132.227.228 46.173.243.3 46.173.252.7 77.36.115.11 91.217.249.218 92.119.36.19 92.119.36.131 98.159.37.190 98.159.37.221 98.159.37.232 103.163.220.134 103.163.220.182 104.234.32.18 104.234.225.14 146.190.152.117 173.239.218.19 181.215.65.86 185.223.152.17 185.223.152.58 195.210.115.17 195.210.124.18 199.101.196.54 199.101.196.156 216.24.212.230 ``` ### 活动3 — Azure CLI暴力破解IP（IPv6） ``` 2605:6400:81af:c655:1c4e:6e5:d024:6a25 2605:6400:c077:7e2a:4236:7f6a:c0b:fa0c 2605:6400:c077:bae4:6487:d6f6:d4b5:7a23 2605:6400:c077:be35:f5e0:909c:b27a:220d 2605:6400:c077:c76a:9a52:5a91:109c:8530 2605:6400:c2e5:b31:5d39:d03e:7d63:391a 2605:6400:c2e5:d101:c132:96c6:837b:dcec 2605:6400:c2e5:f53:d93b:d78:20c9:db91 ``` ### 恶意ASN（基础设施） ``` AS206092 SECFIREWALLAS / F.N.S. Holdings AS62240 Cloudvider AS137409 RAHATCOM AS396356 MaxiHost AS53667 FranTech Solutions / BuyVM (Luxembourg) AS212238 Datacamp Ltd AS14061 DigitalOcean ``` ### User Agent ``` Mozilla/5.0 # Campaign 1 — Azure AD PS spray (no browser detail) BAV2ROPC # Campaign 2 — SMTP legacy auth stuffing python-requests/2.28.1 # Campaign 2 — variant node-fetch # Campaign 3 — Azure CLI brute force Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0 # Manual portal login ``` ### 观察到的Entra ID错误代码 ``` 50053 Account locked / sign-in from malicious IP 50126 Invalid credentials (wrong password) 50055 Invalid password (expired) 50074 Strong auth required (password correct, MFA blocked) 53003 Blocked by Conditional Access (password correct, CA blocked) ``` ## 检测查询 请参阅[`detection-queries/`](detection-queries/)获取可立即使用的KQL查询，用于： - Microsoft 365 Defender高级狩猎（`AADSignInEventsBeta`） - Microsoft Sentinel（`SigninLogs`） ## 建议的缓解措施 1. **通过条件访问阻止传统认证** — 消除整个SMTP/ROPC攻击面 2. **通过条件访问阻止或限制Azure AD PowerShell和Azure CLI**仅对管理员账户，需要合规设备和MFA 3. **通过条件访问中的命名位置阻止来自VPN/托管ASN的登录** 4. **对所有账户强制执行MFA** — 攻击者仅尝试单因素认证 5. **监控来自非企业IP的错误代码50074和53003** — 这些表示攻击者持有有效密码 6. **检查所有目标账户的收件箱规则和OAuth应用同意**以发现事后持久化 7. **将特权角色与日常使用账户分离** — 领导账户不应持有全局管理员权限 8. **如果观察到类似目标活动，报告给CISA**（report@cisa.gov）和**FBI**（ic3.gov） ## 参考资料 - [Microsoft：Peach Sandstorm密码喷洒活动](https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets/) - [CISA：伊朗政府网络行动](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a) - [加拿大网络安全中心：伊朗威胁通报（2026年3月）](https://www.cyber.gc.ca) - [MITRE ATT&CK：T1110. — 密码喷洒](https://attack.mitre.org/techniques/T1110/003/) - [MITRE ATT&CK：T1078.004 — 云账户](https://attack.mitre.org/techniques/T1078/004/) ## 分享 此报告为**TLP:WHITE**可自由分享。如果您观察到针对您组织的类似活动，请考虑与社区分享您的IOC。 如果您是犹太组织、犹太教堂、学校或文化机构，需要帮助应对类似攻击，请随时提交issue或联系。 *最后更新：2026年3月31日*

标签：APT33, APT攻击, Azure AD, Azure CLI暴力破解, Cloudflare, Entra ID, IOC, KQL威胁狩猎, M365安全, MFA, Microsoft 365, MITRE ATT&CK, Peach Sandstorm, PoC, SMTP填充, 以色列, 伊朗威胁组织, 伊朗网络行动, 凭证收割, 威胁情报, 安全事件响应, 宗教机构, 密码喷洒, 开发者工具, 暴力破解, 条件访问, 犹太组织, 美国安全