Prima di procedere
130.000 dispositivi compromessi sta lanciando attacchi di password spraying sugli account Microsoft 365 a livello globale. Questi attacchi mirano a sfruttare il sistema di autenticazione legacy, noto come Basic Authentication (Basic Auth), permettendo agli aggressori di aggirare l'autenticazione a più fattori (MFA).
I criminali informatici utilizzano credenziali rubate tramite un keylogger per eseguire tentativi di accesso non interattivi, sfruttando Basic Auth. Questo metodo consente loro di eludere le misure di sicurezza come l'MFA, che solitamente proteggono gli account.
Gli esperti avvertono che le organizzazioni che monitorano esclusivamente gli accessi interattivi sono vulnerabili, in quanto gli accessi non interattivi, utilizzati per connessioni ai servizi e protocolli legacy (come POP, IMAP, SMTP), di solito non richiedono la conferma dell'MFA. Nonostante Microsoft stia progressivamente eliminando Basic Auth, questo metodo è ancora abilitato in alcuni ambienti aziendali, diventando un bersaglio ideale per gli attacchi. Gli aggressori utilizzano attacchi di forza bruta sulle password comuni (o trapelate) e, se la password è corretta, l'MFA non viene attivato, consentendo l'accesso senza ulteriori verifiche. Inoltre, questa vulnerabilità permette agli hacker di bypassare i criteri di accesso condizionale, rendendo l'attacco difficile da rilevare.
Le credenziali compromesse possono permettere agli aggressori di accedere a servizi legacy che non supportano l'MFA o di utilizzarle per attacchi di phishing finalizzati a prendere il controllo completo degli account. I segnali di questi attacchi possono essere individuati nei log degli ID Entra, dove si evidenziano un aumento dei tentativi di accesso non interattivi, numerosi tentativi di accesso falliti da indirizzi IP diversi e la presenza dell'agente "fasthttp".
I ricercatori sospettano che la botnet possa essere legata a gruppi provenienti dalla Cina, anche se non ci sono conferme definitive. L'attacco è altamente scalabile, poiché distribuisce i tentativi di accesso su una vasta gamma di indirizzi IP, rendendo la botnet difficile da identificare e bloccare.
La botnet è controllata da sei server C2 situati nell'infrastruttura del provider statunitense Shark Tech, e il traffico passa attraverso gli hosting UCLOUD HK (Hong Kong) e CDS Global Cloud (Cina). I server C2 sono basati su Apache Zookeeper e Kafka, e il fuso orario del sistema è impostato su Asia/Shanghai. I registri di uptime mostrano che la botnet è attiva dal dicembre 2024.
