Microsoft heeft opnieuw gewaarschuwd voor een groep die op grote schaal password spray-aanvallen uitvoert. De groep, die door Microsoft 'Peach Sandstorm' wordt genoemd, is volgens het techbedrijf verantwoordelijk voor aanvallen op duizenden organisaties. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt.

"In tegenstelling tot bruteforce-aanvallen, waarbij een enkel account met veel wachtwoorden wordt bestookt, helpen password spray-aanvallen aanvallers om hun kans op succes te vergroten en de kans op automatische lock-outs te verkleinen", aldus Microsoft. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd. Zodra het de aanvallers lukt om op een account in te loggen, maken ze gebruik van zowel publiek beschikbare als zelfontwikkelde tools om het netwerk van de organisatie verder te verkennen, daar toegang toe te behouden en zich lateraal naar andere machines te bewegen.

Vorig jaar september kwam Microsoft ook al met een waarschuwing voor de groep. In april en mei van dit jaar zag Microsoft password spray-aanvallen tegen organisaties in de defensie-, ruimte-, onderwijs- en overheidssector in de Verenigde Staten en Australië. Daarbij maakte de groep, net als bij andere aanvallen, gebruik van de “go-http-client” user agent, aldus Microsoft.

In het geval van een succesvolle aanval adviseert Microsoft naast het resetten van wachtwoorden ook het intrekken van session cookies, alsmede het ongedaan maken van MFA-aanpassingen die de aanvallers bij gecompromitteerde accounts doorvoerden. Verder moeten organisaties onveilige wachtwoorden weren en is het verstandig om bij accounts met hogere rechten die het doelwit waren een onderzoek uit te voeren.