Cybersicherheitsexperten von SpearTip haben eine besorgniserregende Entwicklung aufgedeckt: Eine großangelegte Brute-Force-Angriffskampagne zielt auf Microsoft 365-Benutzerkonten ab. Die Angreifer nutzen dabei die Go-basierte FastHTTP-Bibliothek, um massive automatisierte Zugriffsversuche auf die Azure Active Directory Graph API durchzuführen. Besonders alarmierend ist die außergewöhnlich hohe Erfolgsquote von fast 10% aller Angriffsversuche.
Technische Analyse der Angriffsmethodik
Die Angreifer setzen auf FastHTTP, einen hochperformanten HTTP-Client in der Programmiersprache Go, der sich durch seine Fähigkeit zur parallelen Verarbeitung zahlreicher Verbindungen auszeichnet. Diese Technologie ermöglicht es den Cyberkriminellen, tausende Anmeldeversuche pro Minute durchzuführen und dabei die Endpunkte des Azure Active Directory sowie die implementierten Multi-Faktor-Authentifizierungssysteme systematisch zu testen.
Geografische Verteilung und Erfolgsstatistiken
Die Untersuchungen zeigen eine klare geografische Konzentration der Angriffe: 65% des schädlichen Datenverkehrs stammen aus Brasilien, wo ein komplexes Netzwerk von Providern und IP-Adressen zum Einsatz kommt. Weitere Angriffe wurden aus der Türkei, Argentinien, Usbekistan, Pakistan und dem Irak registriert. Die detaillierte Analyse der Angriffsversuche ergibt folgende Verteilung:
- 41,5% erfolglose Anmeldeversuche
- 21% durch Sicherheitssysteme blockierte Konten
- 17,7% Zugangsverweigerung aufgrund von Richtlinienverletzungen
- 10% an MFA-Barrieren gescheitert
- 9,7% erfolgreiche Kompromittierungen
Präventive Sicherheitsmaßnahmen
Zur Erkennung potenzieller Angriffe sollten Systemadministratoren die Protokolle regelmäßig auf FastHTTP-User-Agents überprüfen. SpearTip stellt hierfür ein spezielles PowerShell-Skript zur automatisierten Überwachung bereit. Bei Verdacht auf Kompromittierung sind folgende Sofortmaßnahmen erforderlich:
- Sofortige Beendigung aller aktiven Benutzersitzungen
- Zurücksetzen der Anmeldeinformationen
- Durchführung eines MFA-Geräte-Audits
- Entfernung nicht autorisierter Geräte aus der Vertrauensliste
Angesichts der hohen Erfolgsrate dieser Angriffe ist es für Unternehmen unerlässlich, ihre Microsoft 365-Sicherheitsarchitektur zu überprüfen und zu verstärken. Dies umfasst die Implementierung strenger Passwortrichtlinien, die verpflichtende Aktivierung der Multi-Faktor-Authentifizierung sowie die Einrichtung eines kontinuierlichen Monitorings verdächtiger Aktivitäten. Nur durch einen ganzheitlichen Sicherheitsansatz können Organisationen sich effektiv gegen diese hochentwickelte Form von Cyberangriffen schützen.
