СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.01.2025
#Dev#ИБ#Инфра#Облака

Угроза кибербезопасности: атаки через fasthttp на MFA

Угроза кибербезопасности: атаки через fasthttp на MFA

Изображение: www.speartip.com

Операционный центр SpearTip Security, совместно с командой управляемых оповещений SaaS, выявил новую угрозу, связанную с использованием библиотеки fasthttp. Эта высокопроизводительная HTTP-серверная и клиентская библиотека для языка программирования Go уже привлекла внимание специалистов по безопасности из-за подозрительных атак, направленных на сервисы Azure Active Directory.

Функции библиотеки fasthttp

Fasthttp известен своей эффективностью в обработке HTTP-запросов, что позволяет ему превосходить стандартный пакет net/http в Go. Однако именно это качество привлекло внимание киберпреступников, которые использовали его для осуществления:

  • несанкционированного доступа;
  • атак методом «брутфорс»;
  • рассылки запросов на многофакторную аутентификацию (MFA).

Анализ трафика и источники атак

По данным анализа, проведенного с использованием информации от клиентов Microsoft 365, fasthttp был впервые выявлен как агент пользователя 6 января 2025 года. На долю Бразилии приходится около 65% всего наблюдаемого трафика, связанным с этой угрозой. Другие страны, также участвующие в атакующих действиях, включают:

  • Турцию;
  • Аргентину;
  • Узбекистан;
  • Пакистан;
  • Ирак.

Рекомендации для ИТ-администраторов

Специалисты призывают ИТ-администраторов обратить внимание на журнал аудита. Ключевым моментом является проверка поля «Пользовательский агент» на наличие fasthttp. SpearTip Security разработал специальный PowerShell-скрипт, который позволяет обнаруживать этот пользовательский агент, генерируя выходные данные консоли и создавая выходной файл при его обнаружении. Контрольная сумма SHA1 для скрипта составляет 9A04F339E95010FFB16049072C6033E7B8D4E014.

Принятые меры и правила реагирования

В ответ на угрозу SpearTip настоятельно рекомендует ИТ-администраторам:

  • прекратить сеансы работы пользователей;
  • сбросить учетные данные пользователей;
  • проверить устройства MFA, связанные с потенциально скомпрометированными учетными записями;
  • удалить и повторно добавить устройства MFA по мере необходимости.

Центр управления безопасностью SpearTip также проверил наличие fasthttp у всех своих клиентов и уведомил затронутых. В дополнение, индикаторы компрометации (IOCs) были переданы команде управляемых оповещений SaaS для дальнейшей защиты клиентов. Были разработаны и внедрены правила реагирования на оповещения SaaS, что усиливает меры безопасности всего сообщества пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: