黑客利用FastHTTP库对全球Microsoft 365账户发起高速暴力破解

在 2024 年蓝点网提到过多次大量用户的微软账户遭到暴力破解或其他形式的登录尝试,众多用户账户里出现数量极大的登录失败日志,但目前微软并未就这个问题发布任何说明。
日前网络安全公司 SpearTip 发布的报告也提到了类似攻击,但该报告提到的目标账户群主要是 Microsoft Azure Active Directory Graph API,蓝点网阅读报告后认为这类攻击与我们之前提到的针对微软个人账户的暴力破解应该不同。
虽说是有区别但攻击手法上却有很大的相似之处,攻击者使用 FastHTTP Go 库进行高速、高频次暴力破解,其特点包括使用大量并发连接、提高吞吐量、降低延迟和提高效率等。
FastHTTP 是用于 Go 编程语言的 HTTP 服务器和客户端,该库针对处理 HTTP 请求进行了优化,黑客则是利用这个库向 Azure Active Directory 端点为目标。
操作手法上黑客要么进行暴力密码破解,要么反复发送多因素身份验证请求 (MFA),也就是试图通过疲劳攻击接管目标账户,从这方面来看与 2024 年出现的针对个人账户的攻击手法有相似之处。
根据 SpearTip 的研究,恶意流量主要来自巴西并利用广泛的 ASN 提供商和 IP 地址发起攻击,其次恶意流量占比最高的分别是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。
让人非常惊讶的是没想到黑客的攻击成功率能达到 9.7%,这个成功率已经属于极高的水平,研究发现 41.5% 的攻击会直接失败,21% 的攻击会触发安全机制导致微软暂时锁定账户、17.7% 的攻击因为访问策略问题 (例如 IT 管理员设置禁止某些区域的 IP 登录) 被拒绝,10% 的攻击受到 MFA 的保护。
由于此次研究主要针对的是企业账户,因此研究人员还编写了 PowerShell 脚本帮助 IT 管理员检查审计日志,该脚本可以检测 FastHTTP 代理,如果发现该代理的信息即代表该企业是攻击目标。
另外 IT 管理员还可以登录 Azure 门户、Microsoft Entra ID、用户、登录日志,在这里筛选其他客户端,筛选出来的客户端里检查 UA 信息看看是否有 FastHTTP。
消息源:SpearTip
-
One-API被植入挖矿软件 请用户及时检查服务器
在 Github 上拥有 20.4K Star 的开源项目 One-API 遭到攻击,目前黑客通过未知手段向项目植入 XMR 门罗币挖矿脚本,导致大量使用该项目的服务器出现持续高负载。One-API
-
One API 接口管理 & 分发系统
OpenAI 接口管理 & 分发系统,支持 Azure、Anthropic Claude、Google PaLM 2 & Gemini、智谱 ChatGLM、百度文心一言、讯飞星火认知
-
GlobalSign携手英飞凌加强物联网设备身份验证和可信度,以简化在微软Azure物联网中心的注册
近日,全球知名的认证机构(CA)兼物联网(IoT)身份验证和安全解决方案的领先供应商GMO GlobalSign,携手半导体制造商英飞凌在近日推出一项解决方案,旨在轻松、安全地进行微软“Azure物联
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- R星向黑客发感谢声明 去年共向他们支付仅1.7万美元
- UotanToolboxNT一站式刷机工具箱,支持刷入 Recovery、修补 Boot、线刷、自定义刷入
- 对话 MySQL 之父 Monty:超越 MySQL 很难,但我做到了!
- “用爱发电”难以为继?开源还需要真金白银投入!
- 张耀疆:赋能业务是首席信息安全官的发展方向
- 恶意扣费?阿里云的这波操作比流氓软件还可耻!
- 你不可不会的几种移动零的方法
- 百度首批无人网约车开始运营;美团饿了么正式回应:已逐步取消对骑士逐单处罚;Qt 2021 路线图公布|极客头条
- “因人脸识别错误,我被捕了!”
- 想多人游戏?那你还不看看它!
- 集材料做汤圆,100% 中奖,千元机械键盘、星巴克卡等任你抽
- 70多位明星丑照被泄,代拍黑灰产有多丧心病狂