資安研究人員發現,駭客正利用 FastHTTP Go 函式庫對全球 Microsoft 365 帳號發動大規模自動化密碼暴力破解攻擊。
根據資安事件應變公司 SpearTip 的調查報告,此波攻擊自 2025 年 1 月 6 日開始,主要針對 Azure Active Directory Graph API。
研究人員警告,這次攻擊的成功率高達 10%,顯示駭客入侵帳號的效率相當驚人。
濫用 FastHTTP 進行帳號接管
FastHTTP 是一個為 Go 程式語言開發的高效能 HTTP 伺服器和客戶端函式庫,可在處理大量並發連線時保持高吞吐量、低延遲和高效率。駭客利用此函式庫在攻擊中自動產生 HTTP 請求,以嘗試未經授權的登入。
攻擊者鎖定 Azure Active Directory 端點,採用密碼暴力破解手法,並透過重複發送多因素驗證(MFA)挑戰來執行 MFA 疲勞攻擊。
根據 SpearTip 分析,惡意流量主要來自巴西(65%),使用多個 ASN 業者和 IP 位址。其餘流量來源依序為土耳其、阿根廷、烏茲別克、巴基斯坦和伊拉克。
研究團隊分析攻擊結果顯示:41.5% 的攻擊失敗,21% 因保護機制而導致帳號鎖定,17.7% 因違反存取政策(地理位置或裝置合規性)而遭拒,10% 則被 MFA 機制攔截。
特別值得注意的是,
仍有 9.7% 的攻擊成功通過身分驗證,取得目標帳號的存取權限。
偵測與防護建議
Microsoft 365 帳號一旦遭到接管,將導致機密資料外洩、智慧財產遭竊取及服務中斷等嚴重後果。為偵測此類攻擊,SpearTip 提供了一套 PowerShell 腳本,供系統管理員檢查稽核紀錄中的 FastHTTP 使用者代理程式(User Agent)。
管理員也可透過 Azure 入口網站手動檢查:進入「Microsoft Entra ID」→「使用者」→「登入紀錄」,並套用「用戶端應用程式:其他用戶端」的篩選條件。
發現可疑活動時,系統管理員應立即:
- 終止所有使用者工作階段
- 重設所有帳號密碼
- 檢查已註冊的多因素驗證裝置清單,並移除未經授權裝置
本文轉載自BleepingComputer。