2024 年多次大量微軟帳號遭到暴力破解或其他形式的登入嘗試，眾多用戶帳號裡出現數量極大的登入失敗日誌，但目前微軟並未就這個問題發布任何說明。日前網路安全公司SpearTip 發布的報告也提到了類似攻擊，但報告中提到的目標帳戶群主要是Microsoft Azure Active Directory Graph API，這類攻擊與我們之前提到的針對微軟個人帳戶的暴力破解應該不同。

雖然有區別，但攻擊手法上卻有很大的相似之處，攻擊者使用FastHTTP Go 庫進行高速、高頻次暴力破解，其特點包括使用大量並發連接、提高吞吐量、降低延遲和提高效率等。

FastHTTP 是用於Go 程式語言的HTTP 伺服器和用戶端，該程式庫針對處理HTTP 請求進行了最佳化，而駭客則利用這個函式庫向Azure Active Directory 端點為目標。

操作手法上駭客要麼進行暴力密碼破解，要麼反覆發送多因素身分驗證請求(MFA)，也就是試圖透過疲勞攻擊接管目標帳戶，從這方面來看與2024 年出現的針對個人帳戶的攻擊手法有相似之處。

根據SpearTip 的研究，惡意流量主要來自巴西並利用廣泛的ASN 提供者和IP 位址發動攻擊，其次惡意流量佔比最高的分別是土耳其、阿根廷、烏茲別克、巴基斯坦和伊拉克。

讓人非常驚訝的是沒想到駭客的攻擊成功率能達到9.7%，這個成功率已經屬於極高的水平，研究發現41.5% 的攻擊會直接失敗，21% 的攻擊會觸發安全機制導致微軟暫時鎖定帳號、17.7% 的攻擊因為存取策略問題(例如IT 管理員設定禁止某些區域的IP 登入) 被拒絕，10% 的攻擊受到MFA 的保護。

由於這項研究主要針對的是企業帳戶，因此研究人員還編寫了PowerShell 腳本幫助IT 管理員檢查審計日誌，該腳本可以檢測FastHTTP 代理，如果發現該代理的信息即代表該企業是攻擊目標。

另外IT 管理員還可以登入Azure 入口網站、Microsoft Entra ID、使用者、登入日誌，在這裡篩選其他用戶端，篩選出來的客戶端檢查UA 資訊看看是否有FastHTTP。

訊息源：SpearTip