Um botnet massivo com mais de 130.000 dispositivos comprometidos está realizando ataques de pulverização de senha (password-spray attacks) contra contas do Microsoft 365 (M365) em todo o mundo, visando a autenticação básica para evitar a autenticação de múltiplos fatores (multi-factor authentication, MFA).
De acordo com um relatório da SecurityScorecard, os atacantes estão explorando credenciais roubadas por malware infostealer para mirar nas contas em larga escala.
Os ataques contam com logins não interativos utilizando Autenticação Básica (Basic Authentication, Basic Auth) para driblar as proteções de MFA e obter acesso não autorizado sem acionar alertas de segurança.
"Organizações que dependem exclusivamente do monitoramento de login interativo estão cegas para esses ataques. Os logins não interativos, comumente usados para autenticação de serviço a serviço, protocolos legados (por exemplo, POP, IMAP, SMTP) e processos automatizados, não acionam o MFA em muitas configurações," alerta a SecurityScorecard.
Basic Authentication, ainda habilitada em alguns ambientes, permite que as credenciais sejam transmitidas em forma simples, tornando-a um alvo primordial para atacantes.
Basic Auth é um método de autenticação desatualizado onde as credenciais do usuário são enviadas em texto simples ou formatadas em base64 em cada requisição a um servidor.
Ele carece de funcionalidades modernas de segurança como MFA e autenticação baseada em token, e a Microsoft planeja descontinuá-lo em favor de OAuth 2.0 em setembro de 2025, tendo já desabilitado para a maioria dos serviços do Microsoft 365.
O botnet recém-descoberto utiliza tentativas de Basic Auth visando um grande número de contas com senhas comuns/vazadas.
Como o Basic Auth é não interativo, quando há uma correspondência com as credenciais testadas, os atacantes não são solicitados para MFA e muitas vezes não são restringidos por Políticas de Acesso Condicionado (Conditional Access Policies, CAP), permitindo aos atacantes verificar silenciosamente as credenciais da conta.
Uma vez que as credenciais são verificadas, elas podem ser usadas para acessar serviços legados que não requerem MFA ou em ataques de phishing mais sofisticados para contornar o recurso de segurança e obter acesso total à conta.
A SecurityScorecard também destaca que você pode ser capaz de ver sinais dos ataques de pulverização de senha nos logs do Entra ID, os quais mostrarão um aumento nas tentativas de login para logins não interativos, múltiplas tentativas de login falhas de diferentes IPs, e a presença do agente de usuário "fasthttp" nos logs de autenticação.
Em janeiro, a SpearTip alertou sobre atores de ameaças conduzindo ataques de senha no Microsoft 365 usando a biblioteca FastHTTP Go de maneira similar, mas não mencionou os logins não interativos.
Não está claro se isso é um desenvolvimento mais recente pelo botnet para evitar detecção.
A SecurityScorecard relata que os operadores do botnet provavelmente têm afiliação chinesa, embora ainda não haja uma atribuição clara ou confiante.
O botnet opera através de seis servidores principais de comando e controle (command and control, C2) hospedados pelo provedor dos EUA Shark Tech, enquanto proxy de tráfego através do UCLOUD HK baseado em Hong Kong e do CDS Global Cloud, vinculado à China.
Os servidores C2 executam Apache Zookeeper e usam Kafka para gerenciar as operações do botnet.
O fuso horário do sistema nos servidores C2 está configurado para Ásia/Xangai, enquanto seus tempos de atividade indicam que o botnet está ativo desde pelo menos dezembro de 2024.
O botnet utiliza mais de 130.000 dispositivos comprometidos para distribuir tentativas de login entre diferentes endereços IP, o que ajuda a evitar ser marcado por atividade suspeita e bloqueado.
As organizações devem desativar o Basic Auth no Microsoft 365, bloquear os endereços IP listados no relatório, habilitar CAPs para restringir tentativas de login e usar MFA em todas as contas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...