3月3日,以色列某能源公司的IT管理员在日志里发现异常:同一时段内,数十个员工账户收到来自不同IP的登录请求,密码都是"Welcome123"。13天后,第二波来了。再过10天,第三波。Check Point的安全团队后来统计,超过300家以色列组织、25家阿联酋企业被卷入这场持续20天的密码喷洒攻击。
没 malware,没漏洞,就是猜密码
这场攻击的奇怪之处在于它的朴素。攻击者没有利用零日漏洞,没有发送钓鱼邮件,没有部署勒索软件。他们只是拿着一本常见密码字典,对着微软365的登录接口批量尝试。
密码喷洒(Password Spraying)和暴力破解的区别,就像抽奖和 stalking。暴力破解是盯着一个账户狂试几千次密码,容易被系统锁死。密码喷洒则是拿几个最热门的密码——"Password1"、"Company2025"、"Spring2026"——去碰成千上万个账户,每个账户只试几次,刚好卡在触发警报的阈值之下。
Check Point的研究人员发现,攻击者用了大量轮换的Tor出口节点作为跳板,User-Agent伪装成IE10 on Windows 7。这种配置在现代企业环境里堪称"考古",但恰恰能混入正常的遗留系统流量中不被注意。
当防御者还在盯着IP黑名单时,攻击者已经用"慢速+分散"的策略把登录请求伪装成了背景噪音。
第一波攻击在3月3日启动时,目标主要集中在以色列的政府机构和能源企业。Check Point的分析师注意到一个细节:攻击者对以色列市政系统的兴趣,与3月份该地区的 kinetic operations(动能作战)时间线存在重叠。换句话说,这些邮箱权限可能被用于评估轰炸破坏程度——不是网络战的抽象概念,是物理世界的坐标确认。
从Tor到商业VPN:身份伪装的两阶段
攻击的第二阶段发生在凭证验证成功之后。Check Point的日志显示,一旦某个账户的密码匹配成功,后续的完整登录流程会立刻切换来源——从Tor节点转移到Windscribe和NordVPN的商业IP段,且地理位置被特意定位在以色列境内。
这个切换的意图很明显:绕过微软365的地理围栏警报。很多企业配置了"禁止海外登录"的策略,但"从以色列境内登录"不会触发任何异常。攻击者用几十美元的VPN订阅,把自己包装成了刚出差回来的员工。
「攻击者在成功认证后表现出明显的操作纪律,」Check Point的报告里写道,「Tor用于侦察和试探,商业VPN用于维持访问,两个阶段的基础设施完全隔离。」
这种分工让事件响应变得棘手。安全团队如果只看到第二阶段的VPN登录,会把它标记为"可能的凭证泄露"而非"持续的入侵活动"。两个阶段的时间差可能只有几分钟,但日志来源完全不同,容易被人为拆成两个无关的事件。
为什么基础攻击反而更难防
微软365的租户架构设计,本意是让企业把邮件、文档、协作工具统一管理。但这也意味着:一个被攻破的账户,就是进入整个组织数字资产的入口。攻击者不需要在终端上安装恶意软件,不需要提权到域控,只需要一个有效的用户名和密码,就能在浏览器里翻完高管的收件箱。
Check Point统计了受影响组织的行业分布:政府实体、市政部门、能源集团、私营企业。没有明显的规律,除了地理集中度和"都用了微软365"这一共同点。这种广谱 targeting 暗示攻击者的目标可能是情报收集而非特定勒索——拿到什么算什么,邮箱内容比加密数据更有长期价值。
防御方的困境在于,密码喷洒的检测需要关联分析,而大多数企业的安全运营中心还在依赖单点警报。"某账户登录失败3次"不会触发工单,但"100个账户在同一秒被试了同一个密码"应该。问题是,后者需要跨账户的实时关联,而日志往往分散在不同的SIEM(安全信息和事件管理)模块里。
Check Point建议的缓解措施包括:启用多因素认证(MFA)、监控异常的登录时序模式、对Tor出口节点实施限制。但这些建议的落实率在中东地区的中小企业中参差不齐。微软365的默认配置并不强制MFA,而"用户体验优先"的安全策略在很多时候意味着"攻击者也优先"。
一个讽刺的对比:攻击者为了隐藏自己,愿意承受Tor的延迟和VPN的跳变;而很多合法用户因为MFA多出的10秒步骤,选择关闭它。
3月23日的第三波攻击结束后,Check Point没有观察到后续的大规模数据泄露公开。这可能意味着攻击者仍在消化获取的权限,或者情报收集本身就是终点。对于被攻击的组织来说,最麻烦的不是已知损失,而是无法确定攻击者在邮箱里待了多久、看了什么、转发给了谁。
微软365的审计日志默认保留90天,但高级攻击者知道如何清理痕迹。Check Point的报告里提到一个技术细节:部分被入侵账户在登录后出现了"邮件规则修改"的操作——自动转发特定主题的邮件到外部地址。这种规则一旦建立,攻击者甚至不需要再次登录就能持续接收情报。
密码喷洒的低成本和高回报,让它成为国家级攻击者的常备选项。不需要开发漏洞利用工具,不需要购买初始访问权限,只需要耐心和一张常见密码表。Check Point将此次活动的归因置信度评为"中等",基于目标选择、区域聚焦和技术行为模式——但没有提到具体的威胁组织名称。这种克制的归因方式,反映了网络情报领域的普遍困境:知道是谁的风格,但缺乏法庭级别的证据链。
对于以色列和阿联酋的安全团队来说,3月的这三波攻击留下了一个悬而未决的问题:当攻击者放弃技术炫技、回归最基础的凭证猜测时,你的检测体系是否比一本密码字典更敏锐?
热门跟贴