Actorii de amenințare folosesc biblioteca FastHTTP Go pentru a lansa atacuri brute-force de mare viteză asupra conturilor Microsoft 365 la nivel global.
Campania a fost descoperită recent de firma de răspuns la incidente SpearTip, care a declarat că atacurile au început pe 6 ianuarie 2024, vizând Azure Active Directory Graph API.
Cercetătorii avertizează că atacurile brute-force au condus la preluarea cu succes a conturilor în 10% din cazuri.
FastHTTP este un server HTTP și o bibliotecă de client de înaltă performanță pentru limbajul de programare Go, optimizat pentru manipularea cererilor HTTP cu un throughput îmbunătățit, o latență redusă și o eficiență ridicată chiar și atunci când sunt utilizate cu numeroase conexiuni simultane.
În această campanie, este utilizat pentru a crea cereri HTTP pentru a automatiza încercările de autentificare neautorizate.
SpearTip spune că toate cererile vizează punctele terminale Azure Active Directory pentru a forța parolele sau pentru a trimite repetat provocări de autentificare în doi factori (MFA) pentru a copleși țintele în atacuri de oboseală MFA.
SpearTip raportează că 65% din traficul malicios provine din Brazilia, folosind o gamă largă de furnizori ASN și adrese IP, urmată de Turcia, Argentina, Uzbekistan, Pakistan și Irak.
Cercetătorii spun că 41,5% dintre atacuri eșuează, 21% duc la blocarea conturilor impuse de mecanismele de protecție, 17,7% sunt respinse din cauza încălcărilor politicii de acces (compliance geografic sau de dispozitiv) și 10% sunt protejate de MFA.
Aceasta lasă 9,7% din cazuri în care actorii de amenințare se autentifică cu succes în contul țintă, o rată de succes remarcabil de ridicată.
Preluările conturilor Microsoft 365 pot duce la expunerea datelor confidențiale, furtul de proprietate intelectuală, întreruperi de servicii și alte consecințe negative.
SpearTip a distribuit un script PowerShell pe care administratorii îl pot folosi pentru a verifica prezența agentului de utilizator FastHTTP în jurnalele de audit, indicând că au fost vizate de această operațiune.
Administratorii pot verifica manual și agentul de utilizator conectându-se la portalul Azure, navigând către Microsoft Entra ID → Utilizatori → Jurnale de autentificare și aplicând filtrul Aplicație client: „Alte clienți”.
Dacă se descoperă orice semne de activitate malitioasă, administratorii sunt sfătuiți să expire sesiunile utilizatorilor și să-și reseteze imediat toate credențialele de cont, să revizuiască dispozitivele MFA înregistrate și să elimine adăugirile neautorizate.
O listă completă a indicatorilor de compromis asociată cu campania poate fi găsită în secțiunea de jos a raportului SpearTip.
Peste 3 milioane de servere de email fără criptare expuse la atacuri de sniffing
Aplicațiile Microsoft 365 se blochează pe serverele Windows după actualizarea Office
Cont de administrator Path of Exile 2 furat și folosit pentru a sparge conturile jucătorilor
Oprirea MFA Microsoft blochează accesul la aplicațiile Microsoft 365
Microsoft va forța instalarea noului Outlook pe PC-urile cu Windows 10 în februarie
Leave a Reply