近期，網(wǎng)絡(luò)安全領(lǐng)域迎來(lái)了一次重大警報(bào)，安全專家團(tuán)隊(duì)SpearTip揭露了一項(xiàng)針對(duì)全球Microsoft 365用戶的黑客攻擊事件。此次攻擊利用了一個(gè)名為FastHTTP的Go語(yǔ)言庫(kù)，目標(biāo)直指Azure Active Directory Graph API，其活動(dòng)軌跡最早可以追溯到本月初的6號(hào)。

黑客們采取了一種高強(qiáng)度的自動(dòng)化手段，通過(guò)不斷嘗試未經(jīng)授權(quán)的登錄請(qǐng)求，試圖以暴力破解密碼或是連續(xù)觸發(fā)多因素身份驗(yàn)證（MFA）挑戰(zhàn)。他們巧妙地利用FastHTTP庫(kù)與Azure Active Directory服務(wù)器建立連接，并在短時(shí)間內(nèi)發(fā)起大量并發(fā)連接，以此加大攻擊的成功率。

經(jīng)過(guò)深入分析，SpearTip發(fā)現(xiàn)，此次攻擊中的惡意流量主要來(lái)自巴西，占比高達(dá)65%，而且攻擊者還動(dòng)用了多個(gè)ASN提供商和IP地址來(lái)掩蓋真實(shí)身份。土耳其、阿根廷、烏茲別克斯坦、巴基斯坦和伊拉克等地的黑客也參與了此次攻擊，顯示出這是一場(chǎng)跨國(guó)界的網(wǎng)絡(luò)犯罪活動(dòng)。

在統(tǒng)計(jì)的攻擊結(jié)果中，有41.5%的嘗試未能得逞；21%的賬戶因觸發(fā)安全保護(hù)機(jī)制而被鎖定；17.7%的訪問(wèn)請(qǐng)求因地理位置或設(shè)備合規(guī)性不符合訪問(wèn)策略而被拒絕；另有10%的賬戶得益于MFA的保護(hù)而幸免于難。然而，令人擔(dān)憂的是，仍有9.7%的賬戶被成功入侵，黑客得以獲取這些賬戶的權(quán)限。

為了幫助系統(tǒng)管理員及時(shí)檢測(cè)并應(yīng)對(duì)可能的攻擊，SpearTip分享了一個(gè)實(shí)用的PowerShell腳本。該腳本能夠檢查審計(jì)日志，識(shí)別出是否存在使用FastHTTP用戶代理的登錄嘗試，從而幫助管理員判斷其系統(tǒng)是否已成為黑客的目標(biāo)。