Tỷ lệ thành công gần 10%: FastHTTP Go trở thành công cụ của hacker tấn công brute force tốc độ cao
Vn-Z.vn Ngày 15 tháng 01 năm 2025, Hôm qua (14/1), trang tin công nghệ BleepingComputer đã đăng tải một bài viết cho biết các hacker đang sử dụng thư viện FastHTTP Go để tiến hành các cuộc tấn công brute force tốc độ cao nhằm vào tài khoản Microsoft 365 trên toàn cầu, với tỷ lệ thành công gần 10%
Công ty an ninh mạng SpearTip là đơn vị đầu tiên phát hiện hoạt động tấn công này, được cho là đã bắt đầu từ ngày 6/1/2025. Mục tiêu chính của hacker là Azure Active Directory Graph API.
FastHTTP Go là gì?
FastHTTP Go là một thư viện HTTP hiệu suất cao dành cho ngôn ngữ lập trình Go, nổi tiếng với khả năng xử lý lưu lượng lớn, độ trễ thấp và hiệu quả cao. Thư viện này thường được sử dụng để xử lý hàng loạt kết nối đồng thời.
Cách thức tấn công
Hacker đã khai thác thư viện FastHTTP Go để tự động hóa các nỗ lực đăng nhập trái phép vào Azure Active Directory. Các phương pháp tấn công bao gồm:
• Brute force mật khẩu (thử hàng loạt mật khẩu).
• Tấn công MFA Fatigue: Liên tục gửi yêu cầu xác thực đa yếu tố (MFA) để làm mệt mỏi người dùng mục tiêu, khiến họ vô tình chấp nhận yêu cầu xác thực.
Theo điều tra từ SpearTip, 65% lưu lượng truy cập độc hại bắt nguồn từ Brazil, sử dụng nhiều nhà cung cấp ASN và địa chỉ IP khác nhau. Các quốc gia khác tham gia vào các cuộc tấn công này gồm Thổ Nhĩ Kỳ, Argentina, Uzbekistan, Pakistan và Iraq.
Kết quả của cuộc tấn công
• 41.5% các cuộc tấn công thất bại.
• 21% dẫn đến việc tài khoản bị khóa bởi các cơ chế bảo vệ.
• 17.7% bị từ chối truy cập do vi phạm chính sách (như vị trí địa lý hoặc không tuân thủ thiết bị).
• 10% được bảo vệ bởi xác thực đa yếu tố (MFA).
• 9.7% các cuộc tấn công thành công, hacker đã xác minh và đăng nhập được vào tài khoản mục tiêu.
Cách phòng chống
SpearTip đã chia sẻ một script PowerShell giúp quản trị viên kiểm tra nhật ký audit để phát hiện sự hiện diện của tác nhân người dùng FastHTTP. Điều này có thể giúp xác định liệu hệ thống của họ có trở thành mục tiêu của cuộc tấn công này hay không.
Hướng dẫn kiểm tra thủ công trong Azure để phát hiện user agent
Quản trị viên cũng có thể kiểm tra thủ công user agent bằng cách thực hiện các bước sau trong Azure portal:
1. Đăng nhập vào Azure portal: Truy cập Azure portal và đăng nhập bằng tài khoản quản trị của bạn.
2. Điều hướng đến Microsoft Entra ID:
• Trên menu bên trái, chọn Microsoft Entra ID (trước đây được gọi là Azure Active Directory).
3. Truy cập Sign-in Logs:
• Trong bảng điều khiển của Microsoft Entra ID, chọn mục Users.
• Sau đó, chọn Sign-in Logs từ danh sách tùy chọn.
4. Áp dụng bộ lọc Client app:
• Ở phía trên cùng của trang Sign-in Logs, chọn Add filters.
• Tìm và chọn mục Client app.
• Trong danh sách Client app, chọn Other Clients.
Bộ lọc này giúp hiển thị các kết nối từ ứng dụng khách không xác định, bao gồm các user agent được liên kết với thư viện FastHTTP Go mà hacker sử dụng. Điều này hỗ trợ quản trị viên xác định các hoạt động bất thường hoặc nghi vấn.
Lưu ý
Sau khi phát hiện các đăng nhập đáng ngờ, quản trị viên nên:
• Khóa tài khoản bị ảnh hưởng ngay lập tức.
• Thay đổi mật khẩu hoặc áp dụng các chính sách bảo mật bổ sung.
• Theo dõi nhật ký để phát hiện thêm các hành vi tương tự.
Cuộc tấn công này nhấn mạnh sự nguy hiểm của việc sử dụng các công cụ mạnh mẽ như FastHTTP Go để tự động hóa các phương pháp tấn công brute force. Việc tăng cường bảo mật, như sử dụng MFA mạnh mẽ và giám sát nhật ký, là cực kỳ quan trọng để bảo vệ tài khoản trước những mối đe dọa như vậy.
FastHTTP Go là gì?
FastHTTP Go là một thư viện HTTP hiệu suất cao dành cho ngôn ngữ lập trình Go, nổi tiếng với khả năng xử lý lưu lượng lớn, độ trễ thấp và hiệu quả cao. Thư viện này thường được sử dụng để xử lý hàng loạt kết nối đồng thời.
Cách thức tấn công
Hacker đã khai thác thư viện FastHTTP Go để tự động hóa các nỗ lực đăng nhập trái phép vào Azure Active Directory. Các phương pháp tấn công bao gồm:
• Brute force mật khẩu (thử hàng loạt mật khẩu).
• Tấn công MFA Fatigue: Liên tục gửi yêu cầu xác thực đa yếu tố (MFA) để làm mệt mỏi người dùng mục tiêu, khiến họ vô tình chấp nhận yêu cầu xác thực.
Theo điều tra từ SpearTip, 65% lưu lượng truy cập độc hại bắt nguồn từ Brazil, sử dụng nhiều nhà cung cấp ASN và địa chỉ IP khác nhau. Các quốc gia khác tham gia vào các cuộc tấn công này gồm Thổ Nhĩ Kỳ, Argentina, Uzbekistan, Pakistan và Iraq.
Kết quả của cuộc tấn công
• 41.5% các cuộc tấn công thất bại.
• 21% dẫn đến việc tài khoản bị khóa bởi các cơ chế bảo vệ.
• 17.7% bị từ chối truy cập do vi phạm chính sách (như vị trí địa lý hoặc không tuân thủ thiết bị).
• 10% được bảo vệ bởi xác thực đa yếu tố (MFA).
• 9.7% các cuộc tấn công thành công, hacker đã xác minh và đăng nhập được vào tài khoản mục tiêu.
Cách phòng chống
SpearTip đã chia sẻ một script PowerShell giúp quản trị viên kiểm tra nhật ký audit để phát hiện sự hiện diện của tác nhân người dùng FastHTTP. Điều này có thể giúp xác định liệu hệ thống của họ có trở thành mục tiêu của cuộc tấn công này hay không.
Hướng dẫn kiểm tra thủ công trong Azure để phát hiện user agent
Quản trị viên cũng có thể kiểm tra thủ công user agent bằng cách thực hiện các bước sau trong Azure portal:
1. Đăng nhập vào Azure portal: Truy cập Azure portal và đăng nhập bằng tài khoản quản trị của bạn.
2. Điều hướng đến Microsoft Entra ID:
• Trên menu bên trái, chọn Microsoft Entra ID (trước đây được gọi là Azure Active Directory).
3. Truy cập Sign-in Logs:
• Trong bảng điều khiển của Microsoft Entra ID, chọn mục Users.
• Sau đó, chọn Sign-in Logs từ danh sách tùy chọn.
4. Áp dụng bộ lọc Client app:
• Ở phía trên cùng của trang Sign-in Logs, chọn Add filters.
• Tìm và chọn mục Client app.
• Trong danh sách Client app, chọn Other Clients.
Bộ lọc này giúp hiển thị các kết nối từ ứng dụng khách không xác định, bao gồm các user agent được liên kết với thư viện FastHTTP Go mà hacker sử dụng. Điều này hỗ trợ quản trị viên xác định các hoạt động bất thường hoặc nghi vấn.
Lưu ý
Sau khi phát hiện các đăng nhập đáng ngờ, quản trị viên nên:
• Khóa tài khoản bị ảnh hưởng ngay lập tức.
• Thay đổi mật khẩu hoặc áp dụng các chính sách bảo mật bổ sung.
• Theo dõi nhật ký để phát hiện thêm các hành vi tương tự.
Cuộc tấn công này nhấn mạnh sự nguy hiểm của việc sử dụng các công cụ mạnh mẽ như FastHTTP Go để tự động hóa các phương pháp tấn công brute force. Việc tăng cường bảo mật, như sử dụng MFA mạnh mẽ và giám sát nhật ký, là cực kỳ quan trọng để bảo vệ tài khoản trước những mối đe dọa như vậy.
BÀI MỚI ĐANG THẢO LUẬN