fasthttp используется в новой кампании Bruteforce

security IOC

В январе Центр управления безопасностью SpearTip обнаружил новую угрозу, которая использует библиотеку fasthttp в целях получения несанкционированного доступа к учетным записям и рассылки спама на запросы многофакторной аутентификации (MFA) Azure Active Directory Graph API.

Описание

Анализ данных, собранных с арендаторов Microsoft 365, показал, что fasthttp был впервые замечен 6 января 2025 года. Геолокационный анализ показал, что большая часть трафика, связанного с fasthttp, происходит из Бразилии, а также из других стран, включая Турцию, Аргентину, Узбекистан, Пакистан и Ирак. Различные типы активности, связанные с угрозой, включают сбои аутентификации, блокировку учетных записей, нарушения условного доступа, неудачи аутентификации MFA и успешную аутентификацию в непредвиденных местах.

Чтобы расследовать проблему, ИТ-персонал может проверить журналы Entra ID Sign-in через Azure Portal, а также выполнить поиск в журнале аудита в Microsoft Purview по ключевому слову "fasthttp".

Для устранения проблемы рекомендуется сбросить учетные данные, проверить устройства MFA и мониторить несанкционированные изменения в настройках и разрешениях пользователей.

Indicators of Compromise

IPv4

  • 102.39.38.9
  • 102.97.188.108
  • 103.12.78.198
  • 103.134.3.142
  • 103.138.191.53
  • 109.107.231.31
  • 109.252.62.109
  • 128.201.1.9
  • 129.122.216.222
  • 131.100.197.52
  • 131.161.14.108
  • 138.0.140.197
  • 138.94.176.96
  • 143.208.128.38
  • 143.255.205.133
  • 152.234.132.79
  • 154.208.32.198
  • 156.215.99.95
  • 160.19.247.198
  • 160.20.162.170
  • 161.22.34.142
  • 164.163.60.229
  • 167.249.188.26
  • 167.250.72.163
  • 168.121.40.44
  • 168.195.2.40
  • 168.228.190.156
  • 168.232.247.153
  • 168.232.47.29
  • 168.90.147.66
  • 169.224.4.239
  • 169.224.8.38
  • 170.246.83.22
  • 170.247.192.165
  • 170.81.201.161
  • 170.82.181.59
  • 170.83.211.133
  • 176.205.95.252
  • 177.11.78.177
  • 177.124.14.181
  • 177.125.126.252
  • 177.125.174.242
  • 177.126.233.78
  • 177.129.25.164
  • 177.131.189.149
  • 177.184.110.129
  • 177.185.249.208
  • 177.200.77.201
  • 177.204.178.140
  • 177.221.105.182
  • 177.223.22.30
  • 177.23.13.9
  • 177.247.110.207
  • 177.30.103.97
  • 177.32.202.169
  • 177.35.226.95
  • 177.44.137.149
  • 177.66.253.68
  • 177.67.165.43
  • 177.67.185.184
  • 177.73.189.17
  • 177.74.211.178
  • 177.75.168.40
  • 177.80.37.32
  • 177.84.239.204
  • 177.86.24.90
  • 177.92.149.0
  • 177.92.51.187
  • 177.96.149.80
  • 177.98.38.62
  • 179.108.201.109
  • 179.116.87.12
  • 179.125.245.147
  • 179.127.158.18
  • 179.162.243.207
  • 179.189.147.249
  • 179.189.83.213
  • 179.19.218.235
  • 179.199.61.28
  • 179.228.59.196
  • 179.34.32.242
  • 179.48.219.223
  • 179.49.254.248
  • 179.60.75.224
  • 179.98.170.249
  • 181.192.116.55
  • 181.45.214.124
  • 181.78.101.153
  • 185.17.137.6
  • 185.253.42.120
  • 186.130.89.93
  • 186.148.235.110
  • 186.235.63.51
  • 186.236.227.28
  • 186.241.29.202
  • 186.249.198.204
  • 186.250.206.18
  • 186.68.120.239
  • 186.69.140.46
  • 187.110.145.212
  • 187.126.30.243
  • 187.183.36.188
  • 187.19.149.91
  • 187.19.243.255
  • 187.39.84.200
  • 187.59.23.11
  • 187.95.45.76
  • 188.0.169.172
  • 188.113.206.218
  • 188.114.193.194
  • 189.106.252.11
  • 189.107.115.99
  • 189.127.131.203
  • 189.153.217.34
  • 189.18.47.19
  • 189.32.171.33
  • 189.84.176.64
  • 190.43.154.239
  • 191.180.60.196
  • 191.186.188.26
  • 191.193.151.229
  • 191.204.201.172
  • 191.222.142.50
  • 191.242.246.220
  • 191.34.199.203
  • 191.5.45.198
  • 191.55.80.178
  • 192.141.115.156
  • 192.145.197.157
  • 196.179.187.114
  • 196.239.52.189
  • 197.203.243.91
  • 200.103.20.40
  • 200.103.227.144
  • 200.108.174.160
  • 200.149.196.83
  • 200.215.30.134
  • 200.216.16.171
  • 200.24.133.79
  • 200.7.112.11
  • 201.148.182.125
  • 201.182.161.93
  • 201.182.168.88
  • 201.213.5.134
  • 207.204.103.118
  • 212.12.159.161
  • 212.34.12.230
  • 212.47.141.80
  • 213.230.92.95
  • 37.236.233.17
  • 37.237.125.224
  • 37.237.91.19
  • 37.40.227.131
  • 37.40.228.170
  • 37.40.90.184
  • 38.255.72.145
  • 38.41.18.51
  • 38.51.207.93
  • 39.37.162.239
  • 39.52.106.138
  • 41.147.3.72
  • 41.203.200.4
  • 41.209.57.166
  • 45.117.40.248
  • 45.164.146.22
  • 45.164.7.219
  • 45.166.204.24
  • 45.171.128.239
  • 45.171.30.5
  • 45.175.143.213
  • 45.176.145.147
  • 45.177.10.166
  • 45.178.137.152
  • 45.181.160.64
  • 45.183.93.36
  • 45.188.181.194
  • 45.190.31.146
  • 45.190.6.55
  • 45.224.199.103
  • 45.226.139.132
  • 45.228.170.148
  • 45.230.165.251
  • 45.230.194.249
  • 45.231.30.241
  • 45.233.38.172
  • 45.234.214.106
  • 45.234.3.153
  • 45.239.254.33
  • 45.6.30.149
  • 46.239.6.235
  • 5.133.78.182
  • 5.21.88.200
  • 5.29.23.205
  • 66.181.190.31
  • 69.160.124.143
  • 70.245.127.197
  • 78.173.128.51
  • 78.190.180.228
  • 81.213.87.85
  • 84.54.71.23
  • 84.54.73.19
  • 86.108.16.44
  • 87.224.39.194
  • 88.241.92.28
  • 94.158.55.117

IPv6

  • 2800:a4:1d15:dd00:1877:abd5:2349:a3d3
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий