Wprowadzenie do problemu / definicja
Password spraying to technika ataku polegająca na sprawdzaniu niewielkiej liczby popularnych haseł wobec dużej liczby kont użytkowników. W przeciwieństwie do klasycznego brute force nie skupia się na jednym koncie, lecz rozprasza próby logowania, dzięki czemu trudniej ją wykryć i zablokować. Najnowsza kampania przypisywana aktorowi powiązanemu z Iranem pokazuje, że metoda ta pozostaje bardzo skuteczna przeciwko środowiskom Microsoft 365, zwłaszcza tam, gdzie organizacje nadal mają problemy z jakością haseł i pełnym wdrożeniem MFA.
W skrócie
Badacze bezpieczeństwa opisali wieloetapową kampanię password spraying wymierzoną głównie w organizacje w Izraelu oraz Zjednoczonych Emiratach Arabskich. Ataki miały występować w trzech falach w marcu 2026 roku i objęły ponad 300 organizacji w Izraelu oraz ponad 25 w ZEA, a pojedyncze przypadki odnotowano również w Europie, Stanach Zjednoczonych, Wielkiej Brytanii i Arabii Saudyjskiej.
Najczęściej celem były środowiska Microsoft 365 należące do administracji publicznej, samorządów, firm technologicznych, podmiotów z sektora transportowego i energetycznego oraz organizacji prywatnych. Schemat działania obejmował masowe próby logowania z użyciem infrastruktury Tor, a następnie korzystanie z komercyjnych usług VPN do dalszego dostępu i przeglądania danych, w tym skrzynek pocztowych.
- Atak opierał się na rozproszonych próbach logowania do wielu kont.
- Napastnicy wykorzystywali zarówno sieć Tor, jak i komercyjne usługi VPN.
- Głównym celem były dane przechowywane w ekosystemie Microsoft 365.
- Największe ryzyko dotyczyło organizacji publicznych i sektorów krytycznych.
Kontekst / historia
Password spraying od lat pozostaje jednym z podstawowych sposobów uzyskiwania initial access przez grupy APT oraz operatorów prowadzących ukierunkowane operacje wywiadowcze. Microsoft 365 jest szczególnie atrakcyjnym celem, ponieważ stanowi centralny punkt komunikacji, współpracy i przechowywania dokumentów w nowoczesnych organizacjach.
W opisywanej kampanii analitycy wskazali na możliwe powiązania z interesami operacyjnymi Iranu. Zwrócono uwagę, że znaczącą grupę ofiar stanowiły izraelskie jednostki samorządowe, a dobór części celów miał korelować z obszarami dotkniętymi marcowymi atakami rakietowymi. Taki profil wskazuje, że operacja mogła mieć znaczenie nie tylko wywiadowcze, ale również wspierać szersze działania związane z oceną skutków zdarzeń kinetycznych.
Badacze odnotowali również podobieństwa do wcześniejszych działań irańskich klastrów zagrożeń, w tym aktywności kojarzonej z Peach Sandstorm i Gray Sandstorm, które wcześniej wykorzystywały password spraying jako skuteczny wektor wejścia do środowisk chmurowych.
Analiza techniczna
Kampania była prowadzona etapowo. W pierwszej fazie napastnicy wykonywali intensywne skanowanie i masowe próby logowania do wielu tenantów Microsoft 365. Wykorzystywali przy tym adresy IP pochodzące z węzłów wyjściowych sieci Tor, regularnie je zmieniając, aby utrudnić blokowanie oraz osłabić skuteczność prostych mechanizmów detekcyjnych opartych na pojedynczym wskaźniku sieciowym.
W ruchu obserwowano także User-Agent podszywający się pod starszą wersję Internet Explorera. Taki zabieg mógł służyć ujednoliceniu wzorca ruchu lub maskowaniu aktywności. Sama technika nie wymagała użycia exploita ani złośliwego oprogramowania na etapie początkowym, ponieważ opierała się wyłącznie na skutecznym odgadnięciu słabych lub powtarzalnych haseł.
Po uzyskaniu poprawnych poświadczeń operatorzy przechodzili do drugiej fazy. Zamiast kontynuować działania z infrastruktury anonimizującej, logowali się przez komercyjne usługi VPN. Część adresów IP była geolokalizowana w Izraelu, co mogło zmniejszać ryzyko wzbudzenia alarmu oraz pomagać w obchodzeniu polityk opartych na lokalizacji.
Trzeci etap obejmował wykorzystanie legalnego dostępu do przeglądania i potencjalnej eksfiltracji informacji. Oznaczało to przede wszystkim dostęp do poczty elektronicznej, ale również do innych zasobów dostępnych w ekosystemie Microsoft 365. Z punktu widzenia obrońcy szczególnie niebezpieczne jest to, że skuteczne logowanie mogło wyglądać jak zwykła aktywność użytkownika, zwłaszcza po przejściu z Tora na lokalnie geolokalizowany VPN.
- Faza 1: rozproszone próby logowania z sieci Tor.
- Faza 2: logowanie z użyciem komercyjnych usług VPN.
- Faza 3: dostęp do skrzynek pocztowych i innych danych w chmurze.
Konsekwencje / ryzyko
Najbardziej bezpośrednim skutkiem skutecznego password spraying jest przejęcie legalnego dostępu do kont użytkowników. W przypadku organizacji publicznych i podmiotów infrastrukturalnych może to prowadzić do ujawnienia korespondencji operacyjnej, danych osobowych, dokumentów wewnętrznych, harmonogramów działań, list kontaktowych oraz informacji o incydentach.
W środowisku Microsoft 365 kompromitacja jednego konta bardzo często staje się punktem wyjścia do dalszego rekonesansu. Napastnik może analizować relacje zaufania, wykorzystywać przejętą skrzynkę do phishingu wewnętrznego, przeglądać zasoby SharePoint, Teams i OneDrive, a następnie rozszerzać dostęp bez uruchamiania malware. To znacząco utrudnia wykrycie przez klasyczne rozwiązania endpoint security.
Szczególne zagrożenie dotyczy jednostek samorządowych i sektorów krytycznych. Nawet ograniczony dostęp do poczty może dostarczyć informacji o procesach reagowania kryzysowego, stanie usług publicznych, partnerach zewnętrznych i procedurach operacyjnych. Jeżeli kampania była skorelowana z działaniami militarnymi, jej znaczenie wykracza poza standardową cyberprzestępczość i wpisuje się w logikę działań państwowych.
Rekomendacje
Podstawowym środkiem ochrony pozostaje pełne wymuszenie MFA dla wszystkich użytkowników, bez wyjątków dla kont uprzywilejowanych, administracyjnych czy serwisowych. Tam, gdzie to możliwe, warto wybierać metody odporne na phishing, takie jak klucze sprzętowe lub nowoczesne mechanizmy bezhasłowe.
Organizacje powinny stale monitorować logi uwierzytelniania pod kątem wzorców typowych dla password spraying. Chodzi przede wszystkim o wiele nieudanych prób logowania wobec licznych kont, realizowanych z jednego źródła lub z grupy powiązanych źródeł. Detekcja nie może opierać się wyłącznie na pojedynczym adresie IP, ponieważ atakujący aktywnie rotują infrastrukturę.
Konieczne jest także wdrożenie polityk Conditional Access, które ograniczają logowanie do zatwierdzonych lokalizacji, urządzeń i poziomów ryzyka. W praktyce warto blokować lub dodatkowo weryfikować logowania z sieci anonimizujących, w tym z węzłów Tor, oraz z nietypowych usług VPN.
- Wymusić MFA dla wszystkich kont.
- Stosować silne i unikalne hasła.
- Monitorować logi pod kątem rozproszonych prób logowania.
- Wdrożyć Conditional Access i kontrolę ryzyka logowania.
- Usunąć nieużywane konta i ograniczyć uprawnienia administracyjne.
- Zachować odpowiednią retencję logów audytowych.
- Przygotować procedury resetu poświadczeń i unieważniania sesji.
Podsumowanie
Kampania wymierzona w organizacje korzystające z Microsoft 365 potwierdza, że password spraying pozostaje jednym z najtańszych i najskuteczniejszych sposobów uzyskania dostępu do środowisk chmurowych. Operacja była wieloetapowa, dobrze dopasowana do realiów SaaS i ukierunkowana na cele o wysokiej wartości operacyjnej.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: ochrona tożsamości musi być traktowana jako fundament cyberobrony. MFA, monitoring logowań, odpowiednie polityki dostępu warunkowego, blokowanie ruchu z sieci anonimizujących oraz właściwa retencja logów nie są dodatkiem, lecz podstawą ograniczania ryzyka.
Źródła
- The Hacker News – Iran-Linked Password-Spraying Campaign Targets 300+ Israeli Microsoft 365 Organizations
- Check Point Research – Iran-nexus Password Spray Campaign Targeting Cloud Environments, with a Focus on the Middle East
- Microsoft Threat Intelligence – Peach Sandstorm
- Microsoft Threat Intelligence – Gray Sandstorm