Les auteurs de menaces utilisent la bibliothèque FastHTTP Go pour lancer des attaques par mot de passe par force brute à grande vitesse ciblant les comptes Microsoft 365 à l’échelle mondiale.

La campagne a récemment été découverte par la société de réponse aux incidents SpearTip, qui a déclaré que les attaques avaient commencé le 6 janvier 2024, ciblant l’API graphique Azure Active Directory.

Les chercheurs avertissent que les attaques par force brute doivent réussir des prises de contrôle de comptes 10% du temps.

Abuser de FastHTTP pour des prises de contrôle
FastHTTP est une bibliothèque client et serveur HTTP hautes performances pour le langage de programmation Go, optimisée pour gérer les requêtes HTTP avec un débit amélioré, une faible latence et une efficacité élevée, même lorsqu’elle est utilisée avec de nombreuses connexions simultanées.

Dans cette campagne, il est utilisé pour créer des requêtes HTTP afin d’automatiser les tentatives de connexion non autorisées.

SpearTip indique que toutes les demandes ciblent les points de terminaison Azure Active Directory pour utiliser des mots de passe en force brute ou envoyer à plusieurs reprises des défis d’authentification multifacteur (MFA) pour submerger les cibles dans les attaques de fatigue MFA.

SpearTip rapporte que 65% du trafic malveillant provient du Brésil, exploitant un large éventail de fournisseurs ASN et d’adresses IP, suivis de la Turquie, de l’Argentine, de l’Ouzbékistan, du Pakistan et de l’Irak.

Les chercheurs affirment que 41,5% des attaques échouent, 21% entraînent des verrouillages de compte imposés par des mécanismes de protection, 17,7% sont rejetés en raison de violations de la politique d’accès (conformité géographique ou de l’appareil) et 10% ont été protégés par MFA.

Cela laisse 9,7% des cas où les acteurs de la menace s’authentifient avec succès auprès du compte cible, un taux de réussite particulièrement élevé.

Détecter et défendre
Les rachats de comptes Microsoft 365 peuvent entraîner une exposition des données confidentielles, un vol de propriété intellectuelle, des interruptions de service et d’autres conséquences négatives.

Spear Tip a partagé un script PowerShell que les administrateurs peuvent utiliser pour vérifier la présence de Fast HTTPuseragent dans les journaux d’audit, indiquant qu’ils ont été ciblés par cette opération.

Les administrateurs peuvent également rechercher manuellement l’agent utilisateur en se connectant au portail Azure, en accédant à Microsoft Entra ID → Utilisateurs → Journaux de connexion et en appliquant l’application filter Client: « Autres clients.”

Si des signes d’activité malveillante sont découverts, il est conseillé aux administrateurs d’expirer les sessions utilisateur et de réinitialiser immédiatement toutes les informations d’identification du compte, d’examiner les périphériques MFA enrôlés et de supprimer les ajouts non autorisés.

Une liste complète des indicateurs de compromission associés à la campagne se trouve dans la partie inférieure du rapport de SpearTip.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *