2024年，大量微软账户遭遇暴力破解攻击，登录失败日志激增，但微软尚未对此做出回应。网络安全公司SpearTip报告指出，攻击主要针对Microsoft Azure Active Directory Graph API，但攻击手法与针对个人账户的暴力破解相似。攻击者利用FastHTTP Go库进行高速、高频次破解，通过大量并发连接提高效率。攻击手段包括暴力密码破解和MFA疲劳攻击。恶意流量主要来自巴西，成功率高达9.7%。研究还提供了PowerShell脚本和Azure门户检查方法，帮助IT管理员检测攻击。

🚀攻击目标：虽然主要针对Microsoft Azure Active Directory Graph API，但攻击手法与针对个人账户的暴力破解相似，都使用了FastHTTP Go库进行高速、高频次破解。

🔒攻击手段：黑客主要采取两种攻击方式，一是暴力密码破解，尝试使用不同的密码组合进行登录；二是反复发送多因素身份验证请求（MFA），试图通过疲劳攻击接管目标账户。

🗺️攻击来源：恶意流量主要来自巴西，其次是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克等国家。攻击成功率高达9.7%，这表明攻击者具备较高的技术水平和组织能力。

🛠️防御措施：针对企业账户，研究人员提供PowerShell脚本帮助IT管理员检查审计日志，检测FastHTTP代理；此外，管理员还可以在Azure门户中筛选登录日志，检查UA信息，查看是否存在FastHTTP客户端。

2024 年多次大量微软账户遭到暴力破解或其他形式的登录尝试，众多用户账户里出现数量极大的登录失败日志，但目前微软并未就这个问题发布任何说明。日前网络安全公司 SpearTip 发布的报告也提到了类似攻击，但该报告提到的目标账户群主要是 Microsoft Azure Active Directory Graph API，这类攻击与我们之前提到的针对微软个人账户的暴力破解应该不同。

虽说是有区别，但攻击手法上却有很大的相似之处，攻击者使用 FastHTTP Go 库进行高速、高频次暴力破解，其特点包括使用大量并发连接、提高吞吐量、降低延迟和提高效率等。

FastHTTP 是用于 Go 编程语言的 HTTP 服务器和客户端，该库针对处理 HTTP 请求进行了优化，黑客则是利用这个库向 Azure Active Directory 端点为目标。

操作手法上黑客要么进行暴力密码破解，要么反复发送多因素身份验证请求 (MFA)，也就是试图通过疲劳攻击接管目标账户，从这方面来看与 2024 年出现的针对个人账户的攻击手法有相似之处。

根据 SpearTip 的研究，恶意流量主要来自巴西并利用广泛的 ASN 提供商和 IP 地址发起攻击，其次恶意流量占比最高的分别是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。

让人非常惊讶的是没想到黑客的攻击成功率能达到 9.7%，这个成功率已经属于极高的水平，研究发现 41.5% 的攻击会直接失败，21% 的攻击会触发安全机制导致微软暂时锁定账户、17.7% 的攻击因为访问策略问题 (例如 IT 管理员设置禁止某些区域的 IP 登录) 被拒绝，10% 的攻击受到 MFA 的保护。

由于此次研究主要针对的是企业账户，因此研究人员还编写了 PowerShell 脚本帮助 IT 管理员检查审计日志，该脚本可以检测 FastHTTP 代理，如果发现该代理的信息即代表该企业是攻击目标。

另外 IT 管理员还可以登录 Azure 门户、Microsoft Entra ID、用户、登录日志，在这里筛选其他客户端，筛选出来的客户端里检查 UA 信息看看是否有 FastHTTP。

消息源：SpearTip