Hackers gebruiken FastHTTP bij nieuwe snelheidsgerichte aanvallen op Microsoft 365-wachtwoorden

Kwaadwillende actoren maken gebruik van de FastHTTP Go-bibliotheek om snelle brute-force wachtwoordanvallen uit te voeren die wereldwijd gericht zijn op Microsoft 365-accounts.

De campagne werd recent ontdekt door incident response bedrijf SpearTip, dat aangaf dat de aanvallen zijn begonnen op 6 januari 2024, gericht op de Azure Active Directory Graph API.

De onderzoekers waarschuwen dat de brute-force aanvallen in 10% van de gevallen leiden tot succesvolle accountovernames.

Misbruik van FastHTTP voor overnames

FastHTTP is een high-performance HTTP-server en clientbibliotheek voor de Go-programmeertaal, geoptimaliseerd voor het afhandelen van HTTP-verzoeken met verbeterde doorvoersnelheid, lage latentie en hoge efficiëntie, zelfs bij gebruik met talrijke gelijktijdige verbindingen.

In deze campagne wordt het gebruikt om HTTP-verzoeken te maken om pogingen tot ongeautoriseerde logins te automatiseren.

Volgens SpearTip zijn alle verzoeken gericht op de Azure Active Directory-eindpunten om wachtwoorden te brute-forcen of herhaaldelijk multi-factor authenticatie (MFA) uitdagingen te versturen om doelen te overweldigen in MFA Fatigue aanvallen.

SpearTip meldt dat 65% van het kwaadaardige verkeer afkomstig is uit Brazilië, gebruikmakend van een breed scala aan ASN-providers en IP-adressen, gevolgd door Turkije, Argentinië, Oezbekistan, Pakistan en Irak.

De onderzoekers zeggen dat 41,5% van de aanvallen faalt, 21% leidt tot accountvergrendelingen die door beschermingsmechanismen worden opgelegd, 17,7% wordt afgewezen vanwege beleidsinbreuken op toegang (geografisch of apparaatcompliance), en 10% werd beschermd door MFA.

Dit laat 9,7% van de gevallen over waarin de kwaadwillenden succesvol authenticeren naar het doelaccount, een opmerkelijk hoge slagingspercentage.

Table

Detecteer en verdedig

Microsoft 365 accountovernames kunnen leiden tot de blootstelling van vertrouwelijke gegevens, diefstal van intellectueel eigendom, service-onderbreking en andere negatieve uitkomsten.

SpearTip heeft een PowerShell-script gedeeld dat beheerders kunnen gebruiken om te controleren op de aanwezigheid van de FastHTTP gebruikersagent in auditlogs, wat aangeeft dat ze doelwit waren van deze operatie.

Beheerders kunnen ook handmatig controleren op de gebruikersagent door in te loggen op het Azure-portaal, te navigeren naar Microsoft Entra ID → Gebruikers → Aanmeldingslogs, en de filter Client app: “Andere Clients” toe te passen.

Als tekenen van kwaadwillende activiteit worden ontdekt, worden beheerders geadviseerd om gebruikerssessies te beëindigen en alle account-inloggegevens onmiddellijk te resetten, de aangemelde MFA-apparaten te controleren, en ongeautoriseerde toevoegingen te verwijderen.

Een volledige lijst van de indicatoren van compromis die met de campagne geassocieerd zijn, is te vinden in het onderste gedeelte van het rapport van SpearTip.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----