HackerNews 编译,转载请注明出处:
网络犯罪分子正越来越多地利用合法的HTTP客户端工具,对Microsoft 365环境发动账户接管(ATO)攻击。
企业安全公司Proofpoint表示,其观察到有黑客利用HTTP客户端Axios和Node Fetch发送HTTP请求并从Web服务器接收HTTP响应,以实施ATO攻击。
安全研究员Anna Akselevich称:“这些工具最初源自GitHub等公共存储库,如今却越来越多地被用于中间人(AitM)攻击和暴力破解等技术手段中,导致大量账户被接管。”
自2018年2月以来,利用HTTP客户端工具进行暴力破解攻击的现象一直备受关注,随后的迭代更是采用OkHttp客户端的各种变体来攻击Microsoft 365环境,这种情况一直持续到2024年初。
但Proofpoint指出,到2024年3月,各种HTTP客户端开始受到追捧,攻击规模达到新高。截至去年下半年,78%的Microsoft 365租户至少遭受过一次ATO攻击。
Akselevich说:“2024年5月,这些攻击达到高峰,利用数百万个被劫持的家庭IP地址来攻击云账户。”
Axios、Go Resty、Node Fetch和Python Requests等HTTP客户端的出现,证明了这些攻击尝试的数量和多样性。其中,将精确瞄准与AitM技术相结合的攻击手段,取得了更高的成功率。
Proofpoint表示,Axios是为Node.js和浏览器设计的,可以与Evilginx等AitM平台配合使用,以窃取凭据和多因素认证(MFA)代码。
此外,还观察到威胁行为者设置了新的邮箱规则以掩盖恶意活动证据、窃取敏感数据,甚至注册了权限范围过大的新OAuth应用程序,以建立对受损环境的持久远程访问。
据悉,Axios攻击活动主要针对交通运输、建筑、金融、信息技术和医疗保健等行业的高价值目标,如高管、财务官、账户经理和运营人员。
2024年6月至11月期间,超过51%的目标组织被评估为已成功受到攻击,43%的目标用户账户遭到入侵。
这家网络安全公司还检测到一起大规模密码喷洒攻击活动,该活动使用Node Fetch和Go Resty客户端,自2024年6月9日以来记录了不少于1300万次的登录尝试,平均每天超过6.6万次恶意尝试。然而,成功率仍然较低,仅影响了2%的目标实体。
迄今为止,已确定3000个组织中的超过17.8万个目标用户账户遭到攻击,其中大多数属于教育领域,特别是学生用户账户,这些账户可能保护不足,可被用于其他攻击活动或被出售给不同的威胁行为者。
Akselevich表示:“威胁行为者用于ATO攻击的工具已大大发展,他们利用各种HTTP客户端工具来利用API和发送HTTP请求。这些工具具有独特优势,使攻击更加高效。”
“鉴于这一趋势,攻击者可能会继续在不同HTTP客户端工具之间切换,调整策略以利用新技术并逃避检测,这反映出了他们为增强攻击效果和降低曝光度而不断进化的更广泛模式。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
