Угроза, связанная с Ираном, подозревается в организации широкомасштабной кампании по распылению паролей, нацеленной на среды Microsoft 365 в Израиле и Объединенных Арабских Эмиратах. Эта активность, которую кибербезопасностная компания Check Point оценивает как продолжающуюся, совпадает с обострением напряженности на Ближнем Востоке. Кампания была проведена тремя отдельными волнами 3, 13 и 23 марта 2026 года, что демонстрирует постоянные и скоординированные усилия по преодолению организационной защиты.
Злоумышленники использовали классическую технику распыления паролей — форму атаки грубой силы, которая позволяет избежать блокировки учетных записей, пробуя один распространенный пароль против огромного количества имен пользователей перед переходом к следующему паролю. Этот метод особенно эффективен против организаций без надежной политики паролей или многофакторной аутентификации (MFA). Кампания была в основном нацелена на более чем 300 израильских организаций в различных секторах, включая правительство, военных, финансы и юридические фирмы, с целью получения первоначального доступа к корпоративным сетям для потенциального шпионажа или разрушительных операций.
Анализ Check Point показал, что субъект угрозы использовал список известных паролей по умолчанию и слабых паролей, распыляя их по учетным записям пользователей, идентифицированным с помощью разведки с открытыми источниками (OSINT) и, возможно, предыдущих утечек данных. Использование сетей резидентских прокси помогло скрыть источники атак, затруднив их обнаружение. Эта кампания подчеркивает постоянную сосредоточенность групп, связанных с Ираном, на сборе разведданных и кибершпионаже против региональных противников, использующих относительно простые, но эффективные методы для эксплуатации общих уязвимостей безопасности.
Организациям настоятельно рекомендуется немедленно принять защитные меры. Применение надежных уникальных паролей и повсеместное развертывание многофакторной аутентификации (MFA) являются наиболее важными шагами для снижения таких атак. Кроме того, командам безопасности следует отслеживать аномальные попытки входа в систему, особенно те, которые исходят из незнакомых местоположений или прокси-сервисов, и рассмотреть возможность реализации политик условного доступа, требующих дополнительной проверки для рискованных попыток входа. Этот инцидент служит stark напоминанием о том, что базовая гигиена безопасности остается наиболее эффективной защитой от большинства оппортунистических кибервторжений.
