Huntress beschreibt die laufende Aktivität als massive Passwort-Spray-Attacke auf Microsofts Azure CLI. Der Schwerpunkt liegt nicht nur auf der schieren Menge der Versuche, sondern auch auf der Methode: Die Angreifer missbrauchen den veralteten OAuth-Flow Resource Owner Password Credentials, um Schutzmaßnahmen des bedingten Zugriffs zu umgehen. Nach Angaben der Forscher konnten so auch Organisationen getroffen werden, die bereits Richtlinien für bedingten Zugriff aktiviert hatten.

ROPC ist ein älterer OAuth-2.0-Gewährungstyp, bei dem Anwender Benutzername und Passwort direkt an eine Client-Anwendung übergeben, die diese Daten anschließend an einen Autorisierungsserver sendet, um ein Zugriffstoken zu erhalten. In OAuth 2.1 wurde dieser Ablauf als veraltet eingestuft. Microsoft rät in seiner Dokumentation ausdrücklich davon ab, ROPC zu verwenden, und begründet das unter anderem mit der fehlenden Vereinbarkeit mit Multi-Faktor-Authentifizierung. Der Konzern weist außerdem darauf hin, dass in den meisten Szenarien sicherere Alternativen verfügbar und empfohlen seien.

Laut Huntress verlief die Kampagne zunächst mit einigen erfolgreichen Anmeldungen pro Tag zwischen dem 12. Juni und dem 21. Juni. In diesem Zeitraum wurden im Schnitt täglich zwei bis vier Konten kompromittiert. Eine Ausnahme bildete der 19. Juni mit 12 übernommenen Benutzerkonten beziehungsweise Identitäten. Am 22. Juni änderte sich dieses Muster deutlich: An diesem Tag waren 30 Identitäten in 23 Unternehmen betroffen.

Insgesamt spricht Huntress von 78 kompromittierten Benutzerkonten in 64 Organisationen. Der Großteil der Passwort-Spray-Aktivität ging demnach von LSHIY LLC aus. Ein Teil der verwendeten IP-Adressen lässt sich in die USA auflösen, andere nach China. Nach Einschätzung von Huntress ist die beobachtete Welle Teil einer größeren Serie von Credential-Spray-Angriffen über mehrere autonome Systeme hinweg. Im eigenen Kundenbestand habe das Unternehmen einen Anstieg des Volumens solcher Angriffe um mehr als das 155-Fache beobachtet. Besonders stark zugenommen habe die Aktivität von Ende Mai bis Anfang Juni; aktuell liege der Mittelwert bei rund 1.964 fehlgeschlagenen Angriffen pro Monat und pro von Huntress geschütztem Tenant.

Die Angreifer setzen laut Huntress gezielt auf alte Kombinationen aus Benutzername und Passwort, die bereits früher bei Datenpannen offengelegt wurden, aber nie ausgetauscht worden seien. Der Einsatz des ROPC-Vektors habe es ermöglicht, Unternehmen anzugreifen, die zwar MFA implementiert hatten, deren Richtlinien dies jedoch für Azure-CLI-Anmeldungen über ROPC nicht erzwangen oder nicht berücksichtigten. Huntress nennt auch Fälle, in denen MFA gar nicht ausgelöst wurde.

Hinzu kommt, dass acht der betroffenen Unternehmen nach Angaben von Huntress überhaupt keine MFA-Richtlinie hatten. Als Gegenmaßnahmen empfehlen die Forscher, bei Richtlinien für bedingten Zugriff MFA für alle Nutzer, alle Cloud-Apps und alle Client-App-Typen zu verlangen, die Azure-CLI-Anwendung für Nicht-Administratoren einzuschränken und die Reaktion nach der Gültigkeit der Zugangsdaten zu priorisieren. In ihrem Fazit sprechen die Huntress-Forscher von Schwachstellen in Konfigurationen für bedingten Zugriff: Vor allem veraltete Protokolle wie ROPC könnten schlecht eingerichtete Richtlinien vollständig umgehen, weil sie nicht den Autorisierungsendpunkt durchlaufen, an dem diese Vorgaben durchgesetzt werden.