По информации исследователей, атаки начались 6 января 2025 года и направлены на Azure Active Directory Graph API. Причем специалисты утверждают, что такие брутфорс-атаки приводят к успешному захвату учетных записей почти в 10% случаев.
FastHTTP представляет собой высокопроизводительную Go-реализацию HTTP-сервера и клиента, оптимизированную для быстрой обработки HTTP-запросов (с низкой задержкой и высокой эффективностью даже при использовании множества одновременных соединений). В обнаруженной вредоносной кампании библиотека применяется для создания HTTP-запросов, позволяющих автоматизировать попытки несанкционированного входа в систему.
По данным исследователей, все запросы атакующих нацелены на эндпоинты Azure Active Directory и связаны с перебором паролей или многократными отправками запросов многофакторной аутентификации (МФА).
Около 65% вредоносного трафика при этом исходит из Бразилии, где для атак используется широкий спектр ASN-провайдеров и IP-адресов, а также из Турции, Аргентины, Узбекистана, Пакистана и Ирака.
При этом исследователи отметили, что 41,5% атак окончились неудачей, еще 21% атак привел к блокировке аккаунтов защитными механизмами, 17,7% атак были отклонены из-за нарушения политик доступа (географического или аппаратного несоответствия), и 10% атак столкнулись с защитой МФА. Таким образом, в 9,7% случаев злоумышленники успешно прошли аутентификацию для целевой учетной записи, и это очень высокий показатель.
К своему отчету специалисты SpearTip приложили PowerShell-скрипт, который администраторы могут использовать для поиска user agent FastHTTP в логах (его наличие свидетельствует об атаках). Также администраторы могут поискать user agent вручную, через портал Azure.
В случае обнаружения признаков вредоносной активности администраторам рекомендуется немедленно завершить все сеансы пользователей, сбросить все учетные данные, проверить список МФА-устройств и удалить все несанкционированное.