Хакеры используют FastHTTP для взлома учётных записей Microsoft 365

Изображение: Ed Hardie (unsplash)
Киберпреступники начали применять библиотеку FastHTTP, разработанную для языка Go, в атаках на учетные записи Microsoft 365. Эта кампания, нацеленная на API Azure Active Directory Graph, была выявлена 6 января 2025 года аналитиками компании SpearTip. По данным специалистов, злоумышленники добиваются успеха в 9,7% случаев атак.
FastHTTP представляет собой высокопроизводительный HTTP-клиент, оптимизированный для минимизации задержек и обработки большого количества одновременных соединений. В рамках данной атаки злоумышленники используют его для автоматизированной генерации запросов, направленных на несанкционированный доступ к учетным записям.
Технический анализ механизма атак
Злоумышленники ориентированы на конечные точки Azure Active Directory, что позволяет им:
- Осуществлять подбор паролей к учетным записям.
- Отправлять массовые запросы многофакторной аутентификации (MFA), создавая нагрузку на пользователей.
Основные регионы распространения вредоносного трафика:
- Бразилия.
- Турция.
- Аргентина.
- Узбекистан.
- Пакистан.
- Ирак.
Статистика атак:
- 41,5% — неудачные попытки.
- 21% — блокировка учетных записей защитными механизмами.
- 17,7% — отклонение запросов из-за политики доступа (например, по геолокации или устройству).
- 10% — блокировка срабатыванием MFA.
- 9,7% — успешные взломы.
Потенциальные риски для организаций
Компании, использующие Microsoft 365, сталкиваются с рядом угроз, среди которых:
- Компрометация учетных записей, ведущая к утечке конфиденциальных данных.
- Кража интеллектуальной собственности.
- Потенциальные перебои в бизнес-процессах из-за атак на учетные записи сотрудников.
Глобальные тенденции киберугроз
Использование автоматизированных инструментов для атак на облачные сервисы — растущий тренд среди киберпреступников. Применение FastHTTP подчеркивает эволюцию методик атак, направленных на обход традиционных механизмов защиты.
Также наблюдается рост атак с злоупотреблением MFA-запросами, что приводит к усталости пользователей от частых уведомлений (MFA fatigue) и увеличивает вероятность успешных компрометаций.
Методы обнаружения атак и реагирование
Специалисты SpearTip предлагают использовать PowerShell-скрипты для анализа аудиторских журналов на предмет активности FastHTTP. Проверку можно провести также вручную через Azure Portal:
- Перейти в Microsoft Entra ID.
- Открыть вкладку «Пользователи».
- Выбрать «Журналы входа».
- Применить фильтр «Клиентское приложение: Другие клиенты».
При обнаружении подозрительной активности рекомендуется:
- Немедленно завершить текущие сессии пользователей.
- Изменить пароли с обязательной сменой сессионных токенов.
- Проверить зарегистрированные устройства MFA и удалить несанкционированные.
Более детальную информацию об индикаторах компрометации можно найти в отчёте SpearTip, содержащем дополнительные рекомендации по защите от подобных атак.



