微软3月遭3波密码攻击，300家以色列企业被伊朗黑客盯上

3月3日，以色列某能源公司的IT管理员在日志里发现异常：同一时段内，数十个员工账户收到来自不同IP的登录请求，密码都是"Welcome123"。13天后，第二波来了。再过10天，第三波。Check Point的安全团队后来统计，超过300家以色列组织、25家阿联酋企业被卷入这场持续20天的密码喷洒攻击。

没 malware，没漏洞，就是猜密码

这场攻击的奇怪之处在于它的朴素。攻击者没有利用零日漏洞，没有发送钓鱼邮件，没有部署勒索软件。他们只是拿着一本常见密码字典，对着微软365的登录接口批量尝试。

密码喷洒（Password Spraying）和暴力破解的区别，就像抽奖和 stalking。暴力破解是盯着一个账户狂试几千次密码，容易被系统锁死。密码喷洒则是拿几个最热门的密码——"Password1"、"Company2025"、"Spring2026"——去碰成千上万个账户，每个账户只试几次，刚好卡在触发警报的阈值之下。

Check Point的研究人员发现，攻击者用了大量轮换的Tor出口节点作为跳板，User-Agent伪装成IE10 on Windows 7。这种配置在现代企业环境里堪称"考古"，但恰恰能混入正常的遗留系统流量中不被注意。

当防御者还在盯着IP黑名单时，攻击者已经用"慢速+分散"的策略把登录请求伪装成了背景噪音。

第一波攻击在3月3日启动时，目标主要集中在以色列的政府机构和能源企业。Check Point的分析师注意到一个细节：攻击者对以色列市政系统的兴趣，与3月份该地区的 kinetic operations（动能作战）时间线存在重叠。换句话说，这些邮箱权限可能被用于评估轰炸破坏程度——不是网络战的抽象概念，是物理世界的坐标确认。

从Tor到商业VPN：身份伪装的两阶段

攻击的第二阶段发生在凭证验证成功之后。Check Point的日志显示，一旦某个账户的密码匹配成功，后续的完整登录流程会立刻切换来源——从Tor节点转移到Windscribe和NordVPN的商业IP段，且地理位置被特意定位在以色列境内。

这个切换的意图很明显：绕过微软365的地理围栏警报。很多企业配置了"禁止海外登录"的策略，但"从以色列境内登录"不会触发任何异常。攻击者用几十美元的VPN订阅，把自己包装成了刚出差回来的员工。

「攻击者在成功认证后表现出明显的操作纪律，」Check Point的报告里写道，「Tor用于侦察和试探，商业VPN用于维持访问，两个阶段的基础设施完全隔离。」

这种分工让事件响应变得棘手。安全团队如果只看到第二阶段的VPN登录，会把它标记为"可能的凭证泄露"而非"持续的入侵活动"。两个阶段的时间差可能只有几分钟，但日志来源完全不同，容易被人为拆成两个无关的事件。

为什么基础攻击反而更难防

微软365的租户架构设计，本意是让企业把邮件、文档、协作工具统一管理。但这也意味着：一个被攻破的账户，就是进入整个组织数字资产的入口。攻击者不需要在终端上安装恶意软件，不需要提权到域控，只需要一个有效的用户名和密码，就能在浏览器里翻完高管的收件箱。

Check Point统计了受影响组织的行业分布：政府实体、市政部门、能源集团、私营企业。没有明显的规律，除了地理集中度和"都用了微软365"这一共同点。这种广谱 targeting 暗示攻击者的目标可能是情报收集而非特定勒索——拿到什么算什么，邮箱内容比加密数据更有长期价值。

防御方的困境在于，密码喷洒的检测需要关联分析，而大多数企业的安全运营中心还在依赖单点警报。"某账户登录失败3次"不会触发工单，但"100个账户在同一秒被试了同一个密码"应该。问题是，后者需要跨账户的实时关联，而日志往往分散在不同的SIEM（安全信息和事件管理）模块里。

Check Point建议的缓解措施包括：启用多因素认证（MFA）、监控异常的登录时序模式、对Tor出口节点实施限制。但这些建议的落实率在中东地区的中小企业中参差不齐。微软365的默认配置并不强制MFA，而"用户体验优先"的安全策略在很多时候意味着"攻击者也优先"。

一个讽刺的对比：攻击者为了隐藏自己，愿意承受Tor的延迟和VPN的跳变；而很多合法用户因为MFA多出的10秒步骤，选择关闭它。

3月23日的第三波攻击结束后，Check Point没有观察到后续的大规模数据泄露公开。这可能意味着攻击者仍在消化获取的权限，或者情报收集本身就是终点。对于被攻击的组织来说，最麻烦的不是已知损失，而是无法确定攻击者在邮箱里待了多久、看了什么、转发给了谁。

微软365的审计日志默认保留90天，但高级攻击者知道如何清理痕迹。Check Point的报告里提到一个技术细节：部分被入侵账户在登录后出现了"邮件规则修改"的操作——自动转发特定主题的邮件到外部地址。这种规则一旦建立，攻击者甚至不需要再次登录就能持续接收情报。

密码喷洒的低成本和高回报，让它成为国家级攻击者的常备选项。不需要开发漏洞利用工具，不需要购买初始访问权限，只需要耐心和一张常见密码表。Check Point将此次活动的归因置信度评为"中等"，基于目标选择、区域聚焦和技术行为模式——但没有提到具体的威胁组织名称。这种克制的归因方式，反映了网络情报领域的普遍困境：知道是谁的风格，但缺乏法庭级别的证据链。

对于以色列和阿联酋的安全团队来说，3月的这三波攻击留下了一个悬而未决的问题：当攻击者放弃技术炫技、回归最基础的凭证猜测时，你的检测体系是否比一本密码字典更敏锐？