Компанія SpearTip виявила безпрецедентну за масштабами кампанію брутфорс-атак на користувачів Microsoft 365. Зловмисники застосовують високопродуктивну бібліотеку FastHTTP для автоматизованого зламу облікових записів через Azure Active Directory Graph API. Особливе занепокоєння викликає надзвичайно високий показник успішних компрометацій – майже 10% від усіх спроб проникнення.
Механізм проведення атак
В основі атак лежить використання FastHTTP – високошвидкісної реалізації HTTP-клієнта на мові програмування Go. Ця технологія дозволяє здійснювати величезну кількість паралельних підключень з мінімальними затримками. Зловмисники спрямовують автоматизовані запити на endpoint’и Azure Active Directory, намагаючись обійти системи багатофакторної автентифікації та отримати несанкціонований доступ до корпоративних ресурсів.
Масштаби та географія кіберзагрози
Аналіз вхідного трафіку показав, що 65% атак здійснюється з території Бразилії через розгалужену мережу IP-адрес. Додаткові вектори атак зафіксовано з Туреччини, Аргентини, Узбекистану, Пакистану та Іраку. Статистика результативності спроб проникнення демонструє тривожну картину:
- 41.5% – невдалі спроби автентифікації
- 21% – блокування облікових записів захисними системами
- 17.7% – відмова через порушення політик доступу
- 10% – зупинка на рівні багатофакторної автентифікації
- 9.7% – успішне проникнення в систему
Стратегія захисту та протидії
Для виявлення потенційних атак адміністраторам систем необхідно регулярно аналізувати логи на наявність користувацького агента FastHTTP. SpearTip розробила спеціалізований PowerShell-скрипт для автоматизації цього процесу. При виявленні ознак компрометації рекомендується:
- Терміново припинити всі активні сесії користувачів
- Здійснити повне скидання облікових даних
- Провести аудит пристроїв багатофакторної автентифікації
- Видалити неавторизовані пристрої зі списку довірених
Враховуючи безпрецедентно високий рівень успішних компрометацій, організаціям критично важливо посилити захист облікових записів Microsoft 365. Це передбачає впровадження суворих парольних політик, обов’язкове використання багатофакторної автентифікації та постійний моніторинг підозрілої активності. Лише комплексний підхід до інформаційної безпеки здатен забезпечити надійний захист від подібних високотехнологічних атак та мінімізувати ризики несанкціонованого доступу до корпоративних ресурсів.
