Atores de ameaças estão utilizando a biblioteca FastHTTP Go para lançar ataques de força bruta de alta velocidade, visando contas do Microsoft 365 globalmente.
A campanha foi recentemente descoberta pela firma de resposta a incidentes SpearTip, que afirmou que os ataques começaram em 6 de janeiro de 2025, mirando a Azure Active Directory Graph API.
Os pesquisadores alertam que os ataques de força bruta têm sido bem-sucedidos em tomar controle de contas 10% das vezes.
FastHTTP é uma biblioteca de servidor e cliente HTTP de alta performance para a linguagem de programação Go, otimizada para manusear solicitações HTTP com melhor throughput, baixa latência e alta eficiência, mesmo quando usada com numerosas conexões concorrentes.
Nesta campanha, ela é aproveitada para criar solicitações HTTP a fim de automatizar tentativas de logins não autorizados.
A SpearTip diz que todas as solicitações miram os endpoints da Azure Active Directory para ou fazer força bruta em senhas ou enviar repetidamente desafios de autenticação multifator (MFA) para sobrecarregar os alvos em ataques de Fadiga de MFA.
A SpearTip relata que 65% do tráfego malicioso se origina do Brasil, aproveitando uma ampla gama de provedores ASN e endereços IP, seguidos por Turquia, Argentina, Uzbequistão, Paquistão e Iraque.
Os pesquisadores dizem que 41,5% dos ataques falham, 21% levam a bloqueios de conta impostos por mecanismos de proteção, 17,7% são rejeitados devido a violações de política de acesso (geográficas ou de conformidade de dispositivo), e 10% foram protegidos por MFA.
Isso deixa 9,7% dos casos onde os atores de ameaças se autenticam com sucesso na conta alvo, uma taxa de sucesso notavelmente alta.
As tomadas de conta do Microsoft 365 podem levar à exposição de dados confidenciais, roubo de propriedade intelectual, tempo de inatividade do serviço e outros resultados negativos.
A SpearTip compartilhou um script PowerShell que os administradores podem usar para verificar a presença do agente de usuário FastHTTP nos logs de auditoria, indicando que foram alvo desta operação.
Os administradores também podem verificar manualmente o agente de usuário ao entrar no portal Azure, navegando até Microsoft Entra ID → Usuários → Logs de Entrada, e aplicando o filtro Aplicativo Cliente: "Outros Clientes".
Se qualquer sinal de atividade maliciosa for descoberto, aconselha-se que os administradores expirem as sessões dos usuários e redefinam todas as credenciais de conta imediatamente, revisem os dispositivos MFA alistados e removam adições não autorizadas.
Uma lista completa dos indicadores de comprometimento associados à campanha pode ser encontrada na seção inferior do relatório da SpearTip.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...