狼叫獸

據(jù)安全公司SpearTip報(bào)告，黑客利用FastHTTP Go庫進(jìn)行攻擊，并成功破解了全球使用Microsoft 365的賬戶。該攻擊活動(dòng)最早可追溯到2025年1月6日，主要針對(duì)Azure Active Directory Graph API。

黑客通過自動(dòng)化嘗試未授權(quán)登錄，以暴力破解密碼或反復(fù)發(fā)送多因素身份驗(yàn)證（MFA）挑戰(zhàn)來實(shí)施攻擊。他們利用FastHTTP Go庫與Azure Active Directory終端建立連接，并在大量并發(fā)連接下進(jìn)行操作。

調(diào)查發(fā)現(xiàn)，來自巴西的惡意流量占據(jù)了65%，同時(shí)利用了廣泛的ASN提供商和IP地址。其次是土耳其、阿根廷、烏茲別克斯坦、巴基斯坦和伊拉克等國(guó)家的參與者。

具體結(jié)果如下：41.5%的攻擊失敗；21%導(dǎo)致賬戶被保護(hù)機(jī)制鎖定；17.7%因違反訪問策略（地理位置或設(shè)備合規(guī)性）而被拒絕；10%受到MFA保護(hù)。盡管如此，仍有9.7%的成功登陸目標(biāo)賬戶并獲取權(quán)限。

為幫助管理員檢測(cè)是否成為此攻擊的目標(biāo)，SpearTip分享了一個(gè)PowerShell腳本，可通過檢查審計(jì)日志中是否存在FastHTTP用戶代理來進(jìn)行確認(rèn)。