近期,網絡安全領域迎來了一次重大警報,安全專家團隊SpearTip揭露了一項針對全球Microsoft 365用戶的黑客攻擊事件。此次攻擊利用了一個名為FastHTTP的Go語言庫,目標直指Azure Active Directory Graph API,其活動軌跡最早可以追溯到本月初的6號。
黑客們采取了一種高強度的自動化手段,通過不斷嘗試未經授權的登錄請求,試圖以暴力破解密碼或是連續觸發多因素身份驗證(MFA)挑戰。他們巧妙地利用FastHTTP庫與Azure Active Directory服務器建立連接,并在短時間內發起大量并發連接,以此加大攻擊的成功率。
經過深入分析,SpearTip發現,此次攻擊中的惡意流量主要來自巴西,占比高達65%,而且攻擊者還動用了多個ASN提供商和IP地址來掩蓋真實身份。土耳其、阿根廷、烏茲別克斯坦、巴基斯坦和伊拉克等地的黑客也參與了此次攻擊,顯示出這是一場跨國界的網絡犯罪活動。
在統計的攻擊結果中,有41.5%的嘗試未能得逞;21%的賬戶因觸發安全保護機制而被鎖定;17.7%的訪問請求因地理位置或設備合規性不符合訪問策略而被拒絕;另有10%的賬戶得益于MFA的保護而幸免于難。然而,令人擔憂的是,仍有9.7%的賬戶被成功入侵,黑客得以獲取這些賬戶的權限。
為了幫助系統管理員及時檢測并應對可能的攻擊,SpearTip分享了一個實用的PowerShell腳本。該腳本能夠檢查審計日志,識別出是否存在使用FastHTTP用戶代理的登錄嘗試,從而幫助管理員判斷其系統是否已成為黑客的目標。
