Microsoft 365 sotto attacco: brute-force ad alta velocità con FastHTTP

Luca Galuppi : 15 Gennaio 2025 16:40

Gli attacchi informatici stanno evolvendo con una rapidità impressionante, e i criminali informatici continuano a trovare modi innovativi per aggirare le difese. Recentemente, è stata scoperta una nuova campagna che sfrutta la libreria FastHTTP per eseguire attacchi brute-force ad alta velocità contro account Microsoft 365 in tutto il mondo.

L’attacco: brute-force e MFA Fatigue

Gli attacchi, identificati dalla società di incident response SpearTip, hanno preso il via il 6 gennaio 2024 e mirano agli endpoint dell’API di Azure Active Directory Graph. Utilizzando FastHTTP, una libreria Go progettata per massimizzare l’efficienza e la velocità nella gestione delle richieste HTTP, i cybercriminali automatizzano tentativi di login non autorizzati con un tasso di successo inquietante: quasi il 10% dei tentativi porta a un takeover dell’account.

Oltre al brute-force, la campagna utilizza anche attacchi di MFA fatigue, bombardando gli utenti con richieste di autenticazione multi-fattore fino a indurli a concedere l’accesso.

Origini e numeri della campagna

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo SpearTip, la maggior parte del traffico malevolo proviene dal Brasile (65%), seguito da Turchia, Argentina, Uzbekistan, Pakistan e Iraq. I numeri sono impressionanti:

• 41.5% degli attacchi fallisce.
• 21% provoca il blocco dell’account.
• 17.7% viene respinto per violazioni delle policy di accesso.
• 10% è protetto da MFA.

Tuttavia, resta quel preoccupante 9.7% di successo, che mette a rischio dati sensibili, proprietà intellettuale e la continuità operativa delle aziende.

Difendersi: rilevamento e contromisure

Per contrastare questa minaccia, SpearTip ha fornito un PowerShell script per rilevare la presenza dello user agent FastHTTP nei log di audit. Inoltre, gli amministratori possono verificare manualmente i tentativi sospetti nel portale Azure seguendo questi passaggi:

1. Accedere al portale di Azure.
2. Navigare su Microsoft Entra ID → Utenti → Log degli accessi.
3. Applicare il filtro: Client app: “Other Clients”.

Se viene individuata attività malevola, le azioni consigliate includono:

• Terminare immediatamente le sessioni utente e reimpostare tutte le credenziali.
• Verificare e rimuovere eventuali dispositivi MFA non autorizzati.
• Consultare gli indicatori di compromissione (IoC) pubblicati nel rapporto di SpearTip.

Conclusione

Gli attacchi contro Microsoft 365 rappresentano una minaccia concreta per le aziende, con conseguenze devastanti: esposizione di dati riservati, furto di proprietà intellettuale e danni alla reputazione. Questa campagna dimostra quanto sia essenziale adottare un approccio proattivo alla sicurezza, combinando tecnologie avanzate e una costante attenzione ai segnali di compromissione.

Di fronte alla velocità con cui si evolvono queste minacce, è fondamentale rispondere con tempestività e decisione.

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Lista degli articoli
Visita il sito web dell'autore