Microsoft 365 sotto attacco: brute-force ad alta velocità con FastHTTP

Gli attacchi informatici stanno evolvendo con una rapidità impressionante, e i criminali informatici continuano a trovare modi innovativi per aggirare le difese. Recentemente, è stata scoperta una nuova campagna che sfrutta la libreria FastHTTP per eseguire attacchi brute-force ad alta velocità contro account Microsoft 365 in tutto il mondo.

L’attacco: brute-force e MFA Fatigue

Gli attacchi, identificati dalla società di incident response SpearTip, hanno preso il via il 6 gennaio 2024 e mirano agli endpoint dell’API di Azure Active Directory Graph. Utilizzando FastHTTP, una libreria Go progettata per massimizzare l’efficienza e la velocità nella gestione delle richieste HTTP, i cybercriminali automatizzano tentativi di login non autorizzati con un tasso di successo inquietante: quasi il 10% dei tentativi porta a un takeover dell’account.

Oltre al brute-force, la campagna utilizza anche attacchi di MFA fatigue, bombardando gli utenti con richieste di autenticazione multi-fattore fino a indurli a concedere l’accesso.

Origini e numeri della campagna

Secondo SpearTip, la maggior parte del traffico malevolo proviene dal Brasile (65%), seguito da Turchia, Argentina, Uzbekistan, Pakistan e Iraq. I numeri sono impressionanti:

• 41.5% degli attacchi fallisce.
• 21% provoca il blocco dell’account.
• 17.7% viene respinto per violazioni delle policy di accesso.
• 10% è protetto da MFA.

Tuttavia, resta quel preoccupante 9.7% di successo, che mette a rischio dati sensibili, proprietà intellettuale e la continuità operativa delle aziende.

Difendersi: rilevamento e contromisure

Per contrastare questa minaccia, SpearTip ha fornito un PowerShell script per rilevare la presenza dello user agent FastHTTP nei log di audit. Inoltre, gli amministratori possono verificare manualmente i tentativi sospetti nel portale Azure seguendo questi passaggi:

1. Accedere al portale di Azure.
2. Navigare su Microsoft Entra ID → Utenti → Log degli accessi.
3. Applicare il filtro: Client app: “Other Clients”.

Se viene individuata attività malevola, le azioni consigliate includono:

• Terminare immediatamente le sessioni utente e reimpostare tutte le credenziali.
• Verificare e rimuovere eventuali dispositivi MFA non autorizzati.
• Consultare gli indicatori di compromissione (IoC) pubblicati nel rapporto di SpearTip.

Conclusione

Gli attacchi contro Microsoft 365 rappresentano una minaccia concreta per le aziende, con conseguenze devastanti: esposizione di dati riservati, furto di proprietà intellettuale e danni alla reputazione. Questa campagna dimostra quanto sia essenziale adottare un approccio proattivo alla sicurezza, combinando tecnologie avanzate e una costante attenzione ai segnali di compromissione.

Di fronte alla velocità con cui si evolvono queste minacce, è fondamentale rispondere con tempestività e decisione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Luca Galuppi

Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Aree di competenza: Firewall, Networking, Network Design, Architetture IT, Servizi IT

Visita il sito web dell'autore