HackerNews 编译,转载请注明出处:
网络威胁行为者正利用FastHTTP Go库,针对全球Microsoft 365账户发起高速暴力破解密码攻击。
近日,事件响应公司SpearTip发现了此次攻击活动,据称攻击始于2024年1月6日,目标直指Azure Active Directory Graph API。
研究人员警告称,这些暴力破解攻击有10%的时间能够成功接管账户。
滥用FastHTTP进行账户接管
FastHTTP是Go编程语言的高性能HTTP服务器和客户端库,专为处理HTTP请求而优化,即使在大量并发连接的情况下也能实现更高的吞吐量、更低的延迟和更高的效率。
在此次攻击活动中,黑客利用FastHTTP创建HTTP请求,自动化尝试未经授权的登录。
SpearTip指出,所有请求均针对Azure Active Directory的终端点,旨在暴力破解密码或反复发送多因素认证(MFA)挑战,以在MFA疲劳攻击中压垮目标。
SpearTip报告称,65%的恶意流量来自巴西,利用广泛的自治系统号(ASN)提供商和IP地址,其次是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。
研究人员表示,41.5%的攻击失败,21%因保护机制而触发账户锁定,17.7%因违反访问策略(地理位置或设备合规性)而被拒绝,10%受到MFA保护。
这意味着,有9.7%的情况下,威胁行为者成功认证到目标账户,这是一个相当高的成功率。
Microsoft 365账户接管可能导致机密数据泄露、知识产权被盗、服务中断等负面后果。
SpearTip已分享一个PowerShell脚本,管理员可利用该脚本在审核日志中检查是否存在FastHTTP用户代理,从而判断自己是否成为此次攻击的目标。
管理员还可以手动登录Azure门户,导航至“Microsoft Entra ID”→“用户”→“登录日志”,并应用“客户端应用:‘其他客户端’”筛选器来检查用户代理。
如果发现任何恶意活动迹象,建议管理员立即终止用户会话并重置所有账户凭据,审查已注册的MFA设备,并删除未经授权的添加项。
SpearTip报告的底部部分提供了与该攻击活动相关的妥协指标的完整列表。
