ボットネット、Microsoft 365のパスワードスプレー攻撃でBasic Authを標的に

13万台以上の侵害されたデバイスからなる大規模なボットネットが、世界中のMicrosoft 365（M365）アカウントに対して、多要素認証を回避するための基本認証を標的としたパスワードスプレー攻撃を行っている。

SecurityScorecardのレポートによると、攻撃者は、大規模なアカウントを標的とするために、infostealerマルウェアによって盗まれた認証情報を活用しています。

この攻撃は、基本認証（Basic Auth）を使用した非対話型サインインに依存しており、多要素認証（MFA）保護を回避し、セキュリティアラートをトリガーすることなく不正アクセスを行います。

「対話型サインインの監視だけに頼っている組織は、こうした攻撃を見抜くことができません。非対話型サインインは、サービス間認証、レガシー・プロトコル（POP、IMAP、SMTPなど）、自動化プロセスで一般的に使用されていますが、多くの構成ではMFAをトリガしません」とSecurityScorecardは警告しています。

「ベーシック認証は、現在でも一部の環境で有効になっているが、認証情報をプレーンな形式で送信できるため、攻撃者の格好の標的となっている。

Basic Authは時代遅れの認証方法で、ユーザーの認証情報はサーバーへのリクエストごとにプレーンテキストまたはbase64エンコードされた形式で送信される。

MFAやトークン・ベースの認証のような最新のセキュリティ機能を欠いており、マイクロソフトは2025年9月にOAuth 2.0に移行するためにBasic Authを廃止する予定である。

新たに発見されたボットネットは、Basic Authを使用して、共通／流出したパスワードで多数のアカウントを標的にしている。

Basic Authは非インタラクティブなので、試行された認証情報と一致した場合、攻撃者はMFAを要求されず、多くの場合、条件付きアクセスポリシー（CAP）によって制限されないため、攻撃者はアカウントの認証情報を静かに確認することができます。

いったん認証情報が確認されると、MFAを必要としないレガシーサービスへのアクセスに使用されたり、より巧妙なフィッシング攻撃でセキュリティ機能をバイパスしてアカウントへのフルアクセスを得ることができる。

SecurityScorecardはまた、Entra IDのログにパスワード・スプレー攻撃の兆候を確認できる可能性があることを強調しています。このログには、非インタラクティブ・ログインのログイン試行回数の増加、異なるIPからの複数のログイン試行失敗、認証ログ内の「fasthttp」ユーザーエージェントの存在などが表示されます。

1月にSpearTipは、脅威行為者が同様の方法でFastHTTP Goライブラリを使用してMicrosoft 365のパスワード攻撃を行っていることを警告したが、非対話型ログインについては言及していなかった。ボットネットが検知を逃れるために新たに開発したものかどうかは不明です。

中国の脅威アクターとの関連の可能性

SecurityScorecardのレポートによると、このボットネットの運営者は中国系である可能性が高いが、まだ明確な確証はない。

このボットネットは、米国のプロバイダーであるShark Techがホスティングする6台のプライマリC2（コマンド・アンド・コントロール）サーバーを通じて動作し、香港を拠点とするUCLOUD HKと中国にリンクするCDS Global Cloudを通じてトラフィックをプロキシしています。

C2サーバーはApache Zookeeperを実行し、Kafkaを使ってボットネットの運用を管理している。

C2サーバーのシステムタイムゾーンはアジア/上海に設定されており、そのアップタイムから、ボットネットは少なくとも2024年12月から活動していることがわかります。

ボットネットは130,000台以上の侵害されたデバイスを使用し、ログインの試行を異なるIPアドレスに分散させます。

組織は、Microsoft 365のBasic Authを無効にし、レポートに記載されているIPアドレスをブロックし、CAPを有効にしてログイン試行を制限し、すべてのアカウントでMFAを使用する必要があります。