Kampanye ini baru-baru ini ditemukan oleh perusahaan tanggap insiden SpearTip, yang mengatakan serangan dimulai pada 6 Januari 2025, menargetkan API Azure Active Directory Graph. Mengutip Bleepingcomputer, Para peneliti memperingatkan bahwa serangan brute-force harus berhasil mengambil alih akun 10% dari waktu tertentu.
FastHTTP adalah server HTTP berkinerja tinggi dan pustaka klien untuk bahasa pemrograman Go, dioptimalkan untuk menangani permintaan HTTP dengan throughput yang ditingkatkan, latensi rendah, dan efisiensi tinggi bahkan saat digunakan dengan banyak koneksi bersamaan.
Dalam kampanye ini, ini dimanfaatkan untuk membuat permintaan HTTP untuk mengotomatiskan upaya login yang tidak sah. SpearTip mengatakan semua permintaan menargetkan titik akhir Azure Active Directory untuk kata sandi brute-force atau berulang kali mengirim tantangan autentikasi multifaktor (MFA) untuk membanjiri target dalam serangan MFA Fatigue.
SpearTip melaporkan bahwa 65% lalu lintas berbahaya berasal dari Brasil, memanfaatkan berbagai penyedia ASN dan alamat IP, diikuti oleh Turki, Argentina, Uzbekistan, Pakistan, dan Irak.
Para peneliti mengatakan bahwa 41,5% serangan gagal, 21% menyebabkan penguncian akun yang diberlakukan oleh mekanisme perlindungan, 17,7% ditolak karena pelanggaran kebijakan akses (kepatuhan geografis atau perangkat), dan 10% dilindungi oleh MFA.
Ini menyisakan 9,7% kasus dengan pelaku ancaman berhasil mengautentikasi ke akun target, tingkat keberhasilan yang sangat tinggi. Pengambilalihan akun Microsoft 365 dapat menyebabkan eksposur data rahasia, pencurian kekayaan intelektual, waktu henti layanan, dan hasil negatif lainnya.
SpearTip telah membagikan skrip PowerShell yang dapat digunakan administrator untuk memeriksa keberadaan agen pengguna FastHTTP dalam log audit, yang menunjukkan bahwa mereka ditargetkan oleh operasi ini.
Admin juga dapat memeriksa agen pengguna secara manual dengan masuk ke portal Microsoft Azure, menavigasi ke ID Microsoft Entra → Pengguna → Log Masuk, dan menerapkan filter Aplikasi Klien: "Klien Lain".
Jika ada tanda-tanda aktivitas berbahaya yang ditemukan, administrator disarankan untuk segera menghabiskan sesi pengguna dan mengatur ulang semua kredensial akun, meninjau perangkat MFA yang terdaftar, dan menghapus penambahan yang tidak sah.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
