近期网络安全领域曝出一场规模庞大的账户攻击事件。7月2日,安全公司Huntress公开披露,黑客针对微软Microsoft 365账户发动了一场大规模的“密码喷洒”攻击(Password Spraying Attack)。这一攻击的规模令人震惊:据详细数据统计,在6月12日至26日期间,攻击者累计发起了超过8100万次登录请求,最终导致至少64家机构的78个账户被成功入侵。

攻击手法与漏洞分析:ROPC授权机制成为突破口
Huntress的安全研究人员还原了完整的攻击链条。核心手法并不新鲜:攻击者利用先前泄露的账号密码组合,通过Azure CLI发起基于ROPC(Resource Owner Password Credentials,资源所有者密码凭据)的OAuth授权登录流程。简单来说,就是使用已知的“密码字典”进行凭证填充(Credential Stuffing)攻击。
这里有必要简单介绍一下ROPC机制。它是OAuth协议早期推出的一种授权模式,允许应用程序直接使用用户名和密码换取访问令牌,完全跳过了现代交互式登录流程。虽然使用上非常便捷,但其安全性长期存在争议。攻击者正是利用这一“历史遗留问题”,成功绕过了部分企业已部署的多因素认证(MFA)和条件访问策略(CAP)。
并非暴力破解,而是“密码喷洒”攻击
安全研究人员明确指出,本次攻击本质上并非传统的暴力破解(Brute Force)。暴力破解是针对单个账户尝试大量密码,而此次攻击是典型的“密码喷洒”行为:攻击者使用少量已泄露的密码,对大量账户进行尝试登录。由于每个账户的尝试次数极少,传统的暴力破解告警系统根本无法触发。
更狡猾的是,结合Azure CLI和ROPC,这种攻击方式具备了极高的隐蔽性。整个登录流量模拟了正常的API调用,普通的安全监控系统几乎无法在第一时间察觉异常。
攻击溯源:一个未回应的IPv6地址段
截至目前,Huntress仍无法确认攻击者的具体身份。然而,他们在追踪攻击来源时发现,大量恶意流量源自一个归属于LSHIY LLC的IPv6地址段。尽管已向该机构提交了滥用举报,但至今未收到任何回应。这预示着,这场“猎手与猎物”的博弈可能远未结束。
