В январе Центр управления безопасностью SpearTip обнаружил новую угрозу, которая использует библиотеку fasthttp в целях получения несанкционированного доступа к учетным записям и рассылки спама на запросы многофакторной аутентификации (MFA) Azure Active Directory Graph API.
Описание
Анализ данных, собранных с арендаторов Microsoft 365, показал, что fasthttp был впервые замечен 6 января 2025 года. Геолокационный анализ показал, что большая часть трафика, связанного с fasthttp, происходит из Бразилии, а также из других стран, включая Турцию, Аргентину, Узбекистан, Пакистан и Ирак. Различные типы активности, связанные с угрозой, включают сбои аутентификации, блокировку учетных записей, нарушения условного доступа, неудачи аутентификации MFA и успешную аутентификацию в непредвиденных местах.
Чтобы расследовать проблему, ИТ-персонал может проверить журналы Entra ID Sign-in через Azure Portal, а также выполнить поиск в журнале аудита в Microsoft Purview по ключевому слову "fasthttp".
Для устранения проблемы рекомендуется сбросить учетные данные, проверить устройства MFA и мониторить несанкционированные изменения в настройках и разрешениях пользователей.
Indicators of Compromise
IPv4
- 102.39.38.9
- 102.97.188.108
- 103.12.78.198
- 103.134.3.142
- 103.138.191.53
- 109.107.231.31
- 109.252.62.109
- 128.201.1.9
- 129.122.216.222
- 131.100.197.52
- 131.161.14.108
- 138.0.140.197
- 138.94.176.96
- 143.208.128.38
- 143.255.205.133
- 152.234.132.79
- 154.208.32.198
- 156.215.99.95
- 160.19.247.198
- 160.20.162.170
- 161.22.34.142
- 164.163.60.229
- 167.249.188.26
- 167.250.72.163
- 168.121.40.44
- 168.195.2.40
- 168.228.190.156
- 168.232.247.153
- 168.232.47.29
- 168.90.147.66
- 169.224.4.239
- 169.224.8.38
- 170.246.83.22
- 170.247.192.165
- 170.81.201.161
- 170.82.181.59
- 170.83.211.133
- 176.205.95.252
- 177.11.78.177
- 177.124.14.181
- 177.125.126.252
- 177.125.174.242
- 177.126.233.78
- 177.129.25.164
- 177.131.189.149
- 177.184.110.129
- 177.185.249.208
- 177.200.77.201
- 177.204.178.140
- 177.221.105.182
- 177.223.22.30
- 177.23.13.9
- 177.247.110.207
- 177.30.103.97
- 177.32.202.169
- 177.35.226.95
- 177.44.137.149
- 177.66.253.68
- 177.67.165.43
- 177.67.185.184
- 177.73.189.17
- 177.74.211.178
- 177.75.168.40
- 177.80.37.32
- 177.84.239.204
- 177.86.24.90
- 177.92.149.0
- 177.92.51.187
- 177.96.149.80
- 177.98.38.62
- 179.108.201.109
- 179.116.87.12
- 179.125.245.147
- 179.127.158.18
- 179.162.243.207
- 179.189.147.249
- 179.189.83.213
- 179.19.218.235
- 179.199.61.28
- 179.228.59.196
- 179.34.32.242
- 179.48.219.223
- 179.49.254.248
- 179.60.75.224
- 179.98.170.249
- 181.192.116.55
- 181.45.214.124
- 181.78.101.153
- 185.17.137.6
- 185.253.42.120
- 186.130.89.93
- 186.148.235.110
- 186.235.63.51
- 186.236.227.28
- 186.241.29.202
- 186.249.198.204
- 186.250.206.18
- 186.68.120.239
- 186.69.140.46
- 187.110.145.212
- 187.126.30.243
- 187.183.36.188
- 187.19.149.91
- 187.19.243.255
- 187.39.84.200
- 187.59.23.11
- 187.95.45.76
- 188.0.169.172
- 188.113.206.218
- 188.114.193.194
- 189.106.252.11
- 189.107.115.99
- 189.127.131.203
- 189.153.217.34
- 189.18.47.19
- 189.32.171.33
- 189.84.176.64
- 190.43.154.239
- 191.180.60.196
- 191.186.188.26
- 191.193.151.229
- 191.204.201.172
- 191.222.142.50
- 191.242.246.220
- 191.34.199.203
- 191.5.45.198
- 191.55.80.178
- 192.141.115.156
- 192.145.197.157
- 196.179.187.114
- 196.239.52.189
- 197.203.243.91
- 200.103.20.40
- 200.103.227.144
- 200.108.174.160
- 200.149.196.83
- 200.215.30.134
- 200.216.16.171
- 200.24.133.79
- 200.7.112.11
- 201.148.182.125
- 201.182.161.93
- 201.182.168.88
- 201.213.5.134
- 207.204.103.118
- 212.12.159.161
- 212.34.12.230
- 212.47.141.80
- 213.230.92.95
- 37.236.233.17
- 37.237.125.224
- 37.237.91.19
- 37.40.227.131
- 37.40.228.170
- 37.40.90.184
- 38.255.72.145
- 38.41.18.51
- 38.51.207.93
- 39.37.162.239
- 39.52.106.138
- 41.147.3.72
- 41.203.200.4
- 41.209.57.166
- 45.117.40.248
- 45.164.146.22
- 45.164.7.219
- 45.166.204.24
- 45.171.128.239
- 45.171.30.5
- 45.175.143.213
- 45.176.145.147
- 45.177.10.166
- 45.178.137.152
- 45.181.160.64
- 45.183.93.36
- 45.188.181.194
- 45.190.31.146
- 45.190.6.55
- 45.224.199.103
- 45.226.139.132
- 45.228.170.148
- 45.230.165.251
- 45.230.194.249
- 45.231.30.241
- 45.233.38.172
- 45.234.214.106
- 45.234.3.153
- 45.239.254.33
- 45.6.30.149
- 46.239.6.235
- 5.133.78.182
- 5.21.88.200
- 5.29.23.205
- 66.181.190.31
- 69.160.124.143
- 70.245.127.197
- 78.173.128.51
- 78.190.180.228
- 81.213.87.85
- 84.54.71.23
- 84.54.73.19
- 86.108.16.44
- 87.224.39.194
- 88.241.92.28
- 94.158.55.117
IPv6
- 2800:a4:1d15:dd00:1877:abd5:2349:a3d3