Οι φορείς απειλών χρησιμοποιούν τη βιβλιοθήκη FastHTTP Go για να εξαπολύσουν επιθέσεις με κωδικό πρόσβασης υψηλής ταχύτητας ωμής βίας που στοχεύουν λογαριασμούς Microsoft 365 παγκοσμίως.
Η καμπάνια ανακαλύφθηκε πρόσφατα από εταιρεία αντιμετώπισης περιστατικών SpearTipο οποίος είπε ότι οι επιθέσεις ξεκίνησαν στις 6 Ιανουαρίου 2024, με στόχο το API Azure Active Directory Graph.
Οι ερευνητές προειδοποιούν ότι οι επιθέσεις ωμής βίας πρέπει να έχουν επιτυχή εξαγορά λογαριασμών το 10% του χρόνου.
Κατάχρηση του FastHTTP για εξαγορές
Το FastHTTP είναι ένας διακομιστής HTTP και βιβλιοθήκη πελάτη υψηλής απόδοσης για τη γλώσσα προγραμματισμού Go, βελτιστοποιημένη για χειρισμό αιτημάτων HTTP με βελτιωμένη απόδοση, χαμηλή καθυστέρηση και υψηλή απόδοση, ακόμη και όταν χρησιμοποιείται με πολλές ταυτόχρονες συνδέσεις.
Σε αυτήν την καμπάνια, αξιοποιείται για τη δημιουργία αιτημάτων HTTP για την αυτοματοποίηση των προσπαθειών για μη εξουσιοδοτημένες συνδέσεις.
Το SpearTip λέει ότι όλα τα αιτήματα στοχεύουν τα τελικά σημεία του Azure Active Directory είτε σε κωδικούς πρόσβασης ωμής βίας είτε σε επαναλαμβανόμενες προκλήσεις ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για να κατακλύσουν στόχους σε επιθέσεις MFA Fatigue.
Το SpearTip αναφέρει ότι το 65% της κακόβουλης κίνησης προέρχεται από τη Βραζιλία, αξιοποιώντας ένα ευρύ φάσμα παρόχων ASN και διευθύνσεων IP, ακολουθούμενες από την Τουρκία, την Αργεντινή, το Ουζμπεκιστάν, το Πακιστάν και το Ιράκ.
Οι ερευνητές λένε ότι το 41,5% των επιθέσεων αποτυγχάνουν, το 21% οδηγούν σε κλειδώματα λογαριασμών που επιβάλλονται από μηχανισμούς προστασίας, το 17,7% απορρίπτονται λόγω παραβιάσεων της πολιτικής πρόσβασης (συμμόρφωση γεωγραφικής ή συσκευής) και το 10% προστατεύονται από το MFA.
Αυτό αφήνει το 9,7% των περιπτώσεων όπου οι παράγοντες απειλής ελέγχουν επιτυχώς την ταυτότητα του λογαριασμού-στόχου, ένα ιδιαίτερα υψηλό ποσοστό επιτυχίας.
Εντοπίστε και υπερασπιστείτε
Οι εξαγορές λογαριασμών Microsoft 365 μπορούν να οδηγήσουν σε έκθεση εμπιστευτικών δεδομένων, κλοπή πνευματικής ιδιοκτησίας, χρόνο διακοπής της υπηρεσίας και άλλα αρνητικά αποτελέσματα.
Το SpearTip μοιράστηκε ένα σενάριο PowerShell που μπορούν να χρησιμοποιήσουν οι διαχειριστές για να ελέγξουν την παρουσία του παράγοντα χρήστη FastHTTP στα αρχεία καταγραφής ελέγχου, υποδεικνύοντας ότι στοχεύτηκαν από αυτήν τη λειτουργία.
Οι διαχειριστές μπορούν επίσης να ελέγξουν με μη αυτόματο τρόπο για τον παράγοντα χρήστη πραγματοποιώντας είσοδο στην πύλη Azure, πλοήγηση στο Microsoft Entra ID → Users → Sign-in Logs και εφαρμόζοντας την εφαρμογή φίλτρου Client: “Άλλοι πελάτες”.
Εάν αποκαλυφθούν τυχόν ενδείξεις κακόβουλης δραστηριότητας, συνιστάται στους διαχειριστές να λήξουν τις περιόδους σύνδεσης χρήστη και να επαναφέρουν αμέσως όλα τα διαπιστευτήρια λογαριασμού, να ελέγξουν τις καταχωρημένες συσκευές MFA και να αφαιρέσουν τις μη εξουσιοδοτημένες προσθήκες.
Μια πλήρης λίστα με τους δείκτες συμβιβασμού που σχετίζονται με την καμπάνια μπορείτε να βρείτε στην κάτω ενότητα της αναφοράς του SpearTip.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
