Аналітики SpearTip помітили, що зловмисники використовують Go-бібліотеку FastHTTP для проведення високошвидкісних брутфорс-атак на облікові записи Microsoft 365 по всьому світу.

FastHTTP є високопродуктивною Go-реалізацією HTTP-сервера і клієнта, оптимізованою для швидкої обробки HTTP-запитів (з низькою затримкою і високою ефективністю навіть при використанні безлічі одночасних з’єднань). У виявленій шкідливій кампанії бібліотека застосовується для створення HTTP-запитів, що дозволяють автоматизувати спроби несанкціонованого входу в систему.

За даними дослідників, всі запити зловмисників націлені на ендпоінти Azure Active Directory і пов’язані з перебором паролів або багаторазовим відправленням запитів багатофакторної аутентифікації (МФА).

Близько 65% шкідливого трафіку при цьому походить з Бразилії, де для атак використовується широкий спектр ASN-провайдерів і IP-адрес, а також з Туреччини, Аргентини, Узбекистану, Пакистану та Іраку.

При цьому дослідники відзначили, що 41,5% атак закінчилися невдачею, ще 21% атак призвели до блокування акаунтів захисними механізмами, 17,7% атак були відхилені через порушення політик доступу (географічної або апаратної невідповідності), і 10% атак зіткнулися із захистом МФА. Таким чином, в 9,7% випадків зловмисники успішно пройшли аутентифікацію для цільового облікового запису, і це дуже високий показник.

До свого звіту фахівці SpearTip додали PowerShell-скрипт, який адміністратори можуть використовувати для пошуку user agent FastHTTP в логах (його наявність свідчить про атаки). Також адміністратори можуть пошукати user agent вручну, через портал Azure.

У разі виявлення ознак шкідливої активності адміністраторам рекомендується негайно завершити всі сеанси користувачів, скинути всі облікові дані, перевірити список МФА-пристроїв і видалити все несанкціоноване.