Специалисты по кибербезопасности компании SpearTip обнаружили масштабную кампанию брутфорс-атак, нацеленную на пользователей Microsoft 365. Злоумышленники применяют библиотеку FastHTTP на языке Go для проведения высокоскоростных атак на Azure Active Directory Graph API, демонстрируя тревожно высокий уровень успешных компрометаций — почти 10% от всех попыток.
Технические особенности атаки
FastHTTP представляет собой высокопроизводительную реализацию HTTP-клиента на языке Go, позволяющую обрабатывать множество одновременных соединений с минимальными задержками. Злоумышленники эксплуатируют эти возможности для автоматизации массовых попыток несанкционированного доступа к учетным записям, концентрируясь на эндпоинтах Azure Active Directory и механизмах многофакторной аутентификации.
География и статистика атак
Исследование показало, что основной источник вредоносного трафика (65%) располагается в Бразилии, где используется разветвленная сеть провайдеров и IP-адресов. Дополнительные атаки фиксируются из Турции, Аргентины, Узбекистана, Пакистана и Ирака. Статистика результатов атак демонстрирует следующее распределение:
- 41.5% — неудачные попытки входа
- 21% — блокировка аккаунтов системами защиты
- 17.7% — отказ из-за нарушения политик доступа
- 10% — остановка на уровне МФА
- 9.7% — успешная компрометация
Рекомендации по защите
Для выявления потенциальных атак администраторам рекомендуется регулярно проверять логи на наличие user agent FastHTTP. SpearTip предоставила специальный PowerShell-скрипт для автоматизации этого процесса. При обнаружении признаков компрометации необходимо:
- Немедленно завершить все активные сессии пользователей
- Выполнить сброс учетных данных
- Провести аудит устройств МФА
- Удалить несанкционированные устройства из списка доверенных
Учитывая высокий процент успешных компрометаций, организациям настоятельно рекомендуется усилить механизмы защиты учетных записей Microsoft 365. Это включает внедрение строгих политик паролей, обязательное использование многофакторной аутентификации и регулярный мониторинг подозрительной активности. Только комплексный подход к безопасности может обеспечить надежную защиту от подобных высокотехнологичных атак.
