LSHIY密码喷洒攻击导致微软365账户遭受8100万次登录尝试

admin 2026-07-03 05:07:22 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: LSHIY发起超8100万次密码喷洒攻击致微软365账户被盗。攻击者滥用已弃用的OAuthROPC流程绕过机制,且多数受害组织虽部署MFA,却因条件访问策略配置错误(如仅限特定应用、仅报告模式等)导致防护失效。建议全面禁用ROPC,严格全局强制执行MFA,并杜绝凭证重复使用。 综合评分: 82 文章分类: 威胁情报,云安全,网络安全,安全运营


cover_image

LSHIY密码喷洒攻击导致微软365账户遭受8100万次登录尝试

网络安全9527 网络安全9527

安全圈的那点事儿

2026年7月2日 19:04 北京

在小说阅读器读本章

去阅读

与基础设施提供商 LSHIY LLC 有关的大规模密码喷洒攻击活动针对 Microsoft 365 环境,导致超过 8100 万次登录尝试。

2026 年 6 月 12 日至 6 月 26 日期间,该活动已导致 64 个组织至少 78 个账户被盗用。

据 Huntress 的研究人员称,该活动主要源自与 AS32167 关联的 IPv6 地址空间以及 2a0a:d683::/32 范围,该范围与 LSHIY LLC 有关联。

这家公司在香港、武汉设有注册办公地址,并在纽约拥有共享办公空间。此次攻击活动标志着凭证喷洒攻击活动显著升级;Huntress 的报告显示,过去六个月内,此类攻击增加了 155 倍以上,平均每个租户每月登录失败次数高达 1964 次。

LSHIY密码喷洒攻击

此次攻击最初导致账户被盗率较低但稳定,通常每天被盗两到四个账户,但在 6 月 22 日出现大幅飙升,一天之内就有 23 个组织的 30 个用户账户被盗。

研究人员观察到,攻击目标并非针对特定行业,而是由先前泄露的用户名-密码组合中是否存在凭证所驱动。

攻击者利用了未轮换的旧凭证,凸显了凭证重复使用和密码卫生不足带来的持续风险。

该攻击活动的一个关键组成部分是滥用 OAuth 资源所有者密码凭证 (ROPC) 流程,这是 OAuth 2.1 中已弃用的身份验证方法。

ROPC 流程允许攻击者直接向 /token 端点提交用户名和密码,以获取经过身份验证的令牌,而无需触发现代身份验证安全措施。

由于 ROPC 不支持多因素身份验证 (MFA) 或单点登录 (SSO),因此在已部署 MFA 但未在所有身份验证流程中正确强制执行的环境中,威胁行为者可以绕过保护措施。

Huntress发现,许多受影响的组织都部署了条件访问策略(CAP)。然而,由于配置漏洞,这些控制措施失效了。在6月22日攻击高峰期间受影响的23个组织中,有15个组织启用了多因素身份验证(MFA),但MFA却不起作用。

常见的错误配置包括:将 MFA 强制执行限制在特定应用程序(例如Microsoft 管理门户)而不是所有云应用程序;将 MFA 限制在某些用户组(例如管理员)中,而使普通用户不受保护;以及仅对非受信任位置应用 MFA 要求,攻击者通过使用地理位置不一致的 IP 地址绕过了这些要求。

在两起案例中,多因素身份验证 (MFA) 策略配置为“仅报告”模式,从未强制执行。此外,还有八个受影响的组织没有启用任何 MFA 保护措施。

地理位置的不一致进一步加剧了检测的复杂性,因为一些 IP 地址被识别为源自中国,而另一些 IP 地址则解析到内布拉斯加州等地,这可能是由于第三方遥测数据存在差异所致。

在某些事件中,安全团队标记的异常登录活动(例如来自中国的可疑登录)有助于识别与该活动相关的入侵尝试。

Huntress 还指出,LSHIY 运营多个自治系统,包括 AS32167 和 AS955,据报道其 IPv6 基础设施源自中国。

调查显示,恶意地址范围内出现了近期创建的 IPv6 地址,其中包括注册日期晚至 2026 年 6 月 11 日的资产。尽管 Huntress 已将滥用行为报告给 LSHIY,但截至发稿时尚未收到回复。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《LSHIY密码喷洒攻击导致微软365账户遭受8100万次登录尝试》

评论:0   参与:  0