脅威行為者は、FastHTTP Goライブラリを利用して、世界中のMicrosoft 365アカウントを標的とした高速ブルートフォースパスワード攻撃を開始している。
このキャンペーンは、インシデントレスポンス会社のSpearTip社によって最近発見されたもので、同社によると、この攻撃は2024年1月6日に開始され、Azure Active Directory Graph APIを標的としていた。
研究者は、ブルートフォース攻撃は10%の確率でアカウントの乗っ取りに成功していると警告している。
FastHTTPを悪用した乗っ取り
FastHTTPは、Goプログラミング言語用の高性能なHTTPサーバーおよびクライアント・ライブラリで、HTTPリクエストを処理するために最適化されています。
今回のキャンペーンでは、HTTPリクエストを作成し、不正ログインの試みを自動化するために活用されています。
SpearTip社によると、すべてのリクエストはAzure Active Directoryのエンドポイントを標的とし、パスワードを総当たりで入力させるか、多要素認証(MFA)チャレンジを繰り返し送信し、MFA Fatigue攻撃で標的を圧倒します。
SpearTipの報告によると、悪意のあるトラフィックの65%はブラジルから発生しており、ASNプロバイダとIPアドレスの広範な範囲を利用しています。
研究者によると、攻撃の41.5%が失敗し、21%が保護メカニズムによってアカウントのロックアウトにつながり、17.7%がアクセスポリシー違反(地理的またはデバイスのコンプライアンス)によって拒否され、10%がMFAによって保護されたという。
この結果、ターゲットアカウントへの認証に成功したケースは9.7%であり、これは非常に高い成功率である。
検知と防御
Microsoft 365 アカウントの乗っ取りは、機密データの流出、知的財産の盗難、サービスのダウンタイム、その他の悪影響につながる可能性があります。
SpearTipは、管理者が監査ログでFastHTTPユーザーエージェントの存在を確認するために使用できるPowerShellスクリプトを共有しました。
管理者は、Azure ポータルにログインし、Microsoft Entra ID → Users → Sign-in Logs に移動し、Client app:”その他のクライアント”
悪意のある活動の兆候が発見された場合、管理者は直ちにユーザーセッションを失効させ、すべてのアカウント認証情報をリセットし、登録されている MFA デバイスを確認し、未承認の追加を削除することが推奨されます。
このキャンペーンに関連する侵害の指標の完全なリストは、SpearTip のレポートの一番下のセクションに記載されています。
Comments