Huntress beschreibt die laufende Aktivität als Teil einer größeren Welle von Credential-Spray-Angriffen über mehrere autonome Systeme hinweg. Über die eigene Kundenbasis hinweg habe das Unternehmen in den vergangenen sechs Monaten einen Anstieg des Volumens solcher Angriffe um mehr als das 155-Fache beobachtet.
Einen deutlichen Schub bei Password-Spray-Angriffen registrierte Huntress bereits Ende Mai und Anfang Juni bei mehreren Unternehmen. Nach Einschätzung der Firma basieren die Angriffe vollständig auf kompromittierten Listen aus Benutzernamen und Passwörtern.
Im Fall der Azure-Kampagne setzten die Angreifer auf den OAuth-ROPC-Flow, also „Resource Owner Password Credentials“, um Zugangsdaten zu validieren. Dieser in OAuth 2.1 als veraltet eingestufte Authentifizierungsweg stellt bei korrekten Anmeldedaten ein neues benutzerdelegiertes Token aus. Genau das machte ihn in der beobachteten Kampagne attraktiv: Wenn MFA nicht ausdrücklich auch für den OAuth-ROPC-Flow konfiguriert war, ließ sich ein Konto trotz aktivierter Mehrfaktor-Authentifizierung übernehmen.
Huntress erläutert, warum dieser Ansatz problematisch ist: ROPC unterstütze keine modernen Authentifizierungsverfahren wie MFA oder SSO. In der beobachteten Kampagne werde das Passwort direkt an den Endpunkt „/token“ gesendet, ohne dass eine interaktive MFA-Abfrage erscheine.
Bei der Analyse einzelner Kompromittierungen stieß Huntress nach eigenen Angaben auf mehrere Schwächen in den MFA-Einstellungen. Teilweise sei MFA nicht für alle Cloud-Anwendungen erzwungen worden. In anderen Fällen habe die Pflicht nur für bestimmte Nutzergruppen gegolten, nur für nicht vertrauenswürdige Standorte gegriffen oder sei zwar eingerichtet, aber nie tatsächlich durchgesetzt worden.
Besonders auffällig: Acht von der Kampagne betroffene Unternehmen hatten laut Huntress überhaupt keine MFA-Richtlinie. Zugleich betont die Firma, aus den erfolgreichen Angriffen trotz vorhandener MFA dürfe nicht der Schluss gezogen werden, dass Mehrfaktor-Authentifizierung grundsätzlich wirkungslos sei. Entscheidend sei vielmehr, dass MFA-Richtlinien korrekt für den in diesen Vorfällen genutzten Autorisierungsfluss konfiguriert werden.
Die IPv6-Adressbereiche, aus denen die Angriffe kamen, gehören Huntress zufolge zu LSHIY, einem Anbieter von Internet-Infrastruktur, der in Hongkong, Wuhan in China und New York registriert ist. Zudem verweist der Bericht auf weitere Meldungen, wonach die mit AS32167 und AS955 verknüpften IPv6-Bereiche – beides von LSHIY betriebene autonome Systeme – aus China stammen.
Huntress teilt mit, die bösartige Aktivität über den vorgesehenen Abuse-Meldeweg an LSHIY gemeldet zu haben. Eine Antwort habe das Unternehmen darauf nicht erhalten.
