Dreigingsacteurs misbruiken HTTP -clienttools zoals Axios in combinatie met de directe verzendfunctie van Microsoft om een ”zeer efficiënte aanvalspijplijn” te vormen in recente phishing -campagnes, volgens nieuwe bevindingen van Reliaquest.
“Axios gebruikersagentactiviteit steeg met 241% van juni tot augustus 2025, die de groei van 85% van alle andere gemarkeerde gebruikersagenten gecombineerd overschaduwde”, zei het cybersecuritybedrijf in een rapport dat werd gedeeld met het Hacker News. “Van de 32 gemarkeerde gebruikersagenten die in dit tijdsbestek werden waargenomen, was Axios goed voor 24,44% van alle activiteiten.”
Het misbruik van Axios werd eerder gemarkeerd door Proofpoint in januari 2025, met details over campagnes met behulp van HTTP -clients om HTTP -aanvragen te verzenden en HTTP -antwoorden van webservers te ontvangen om accountovername (ATO) -aanvallen uit te voeren op Microsoft 365 -omgevingen.
Reliaquest vertelde The Hacker News dat er geen bewijs is dat deze activiteiten gerelateerd zijn, eraan toevoegend dat de tool regelmatig wordt benut naast populaire phishing -kits. “Het nut van Axios betekent dat het vrijwel zeker wordt aangenomen door alle soorten dreigingsacteurs, ongeacht de verfijningsniveaus of motivatie,” voegde het bedrijf eraan toe.
Evenzo zijn phishing -campagnes ook in toenemende mate waargenomen met behulp van een legitieme functie in Microsoft 365 (M365) genaamd Direct Send om vertrouwde gebruikers te vervalsen en e -mailberichten te distribueren.
Bij het versterken van Axios -misbruik via Microsoft Direct Send, beoogt de aanval een vertrouwde leveringsmethode te bewapenen om ervoor te zorgen dat hun berichten voorbij veilige gateways glijden en in de inboxen van gebruikers landen. Inderdaad, aanvallen die Axios hebben gekoppeld met directe verzending zijn gevonden om een succespercentage van 70% te bereiken in recente campagnes, waardoor het verleden niet-Axios-campagnes met “ongeëvenaarde efficiëntie” stijgen.
De campagne waargenomen door Reliaquest zou in juli 2025 zijn begonnen, in eerste instantie de leidinggevenden en managers in financiën-, gezondheidszorg- en productiesectoren uitgekozen, voordat hij de focus uitbreidt om zich te richten op alle gebruikers.
Het bedrijf noemde de aanpak een spelwisselaar voor aanvallers en wees erop dat de campagne niet alleen succesvol is in het omzeilen van traditionele beveiligingsverdedigingen met verbeterde precisie, maar stelt ze ook in staat om phishing -operaties op een ongekende schaal op te zetten.
In deze aanvallen wordt Axios gebruikt om HTTP-aanvragen te onderscheppen, te wijzigen en opnieuw te spelen, waardoor het mogelijk is om sessietokens of multi-factor authenticatie (MFA) codes in realtime te vangen of SAS-tokens in Azure-authenticatieworkflows te krijgen om toegang te krijgen tot gevoelige middelen.
“Aanvallers gebruiken deze blinde vlek om MFA te omzeilen, sessietokens te kapen en phishing -workflows te automatiseren,” zei Reliaquest. “De aanpasbaarheid van Axios laat aanvallers hun activiteit aanpassen om legitieme workflows verder na te bootsen.”
De e-mailberichten omvatten het gebruik van kunstaas met compensatie-thema om ontvangers te misleiden om PDF-documenten te openen die kwaadaardige QR-codes bevatten, die, wanneer gescand, gebruikers directe inlogpagina’s laten neppen die Microsoft Outlook nabootsen om diefstal van de referenties te vergemakkelijken. Als een extra laag van verdedigingsontduiking worden sommige van deze pagina’s gehost op Google Firebase -infrastructuur om te profiteren van de reputatie van het app -ontwikkelingsplatform.
Naast het verlagen van de technische barrière voor geavanceerde aanvallen, betekent de prevalentie van Axios in enterprise en ontwikkelaarsopstellingen ook dat het aanvallers een manier biedt om op te gaan in regelmatig verkeer en onder de radar te vliegen.
Om het risico van deze dreiging te verminderen, worden organisaties geadviseerd om direct te verzenden en uit te schakelen als ze niet vereist zijn, configureer het passende anti-spoofingbeleid op e-mailgateways, traint medewerkers om phishing-e-mails te herkennen en verdachte domeinen te blokkeren.
“Axios versterkt de impact van phishing-campagnes door de kloof tussen de initiële toegang en volledige uitbuiting op volledige schaal te overbruggen. Het vermogen om authenticatieworkflows te manipuleren en HTTP-verzoeken opnieuw te spelen, kunnen aanvallers gestolen referenties bewapenen op manieren die zowel schaalbaar als nauwkeurig zijn.”
“Dit maakt Axios integraal in het stijgende succes van directe verzendende phishing-campagnes, waaruit blijkt hoe aanvallers zich ontwikkelen die verder gaan dan traditionele phishing-tactieken om authenticatiesystemen en API’s te exploiteren op een niveau waar traditionele verdedigingen slecht aan zijn om te hanteren.”
De ontwikkeling komt als Mimecast een grootschalige campagne voor de oogstcampagne op grote schaal beschrijft die zich richt op professionals in de horeca door zich voor te doen als de vertrouwde hotelbeheerplatforms Expedia Partner Central en Cloudbeds in e-mails die beweren dat ze bevestigingen van gasten en partner centrale meldingen zijn.
“Deze inloggegevens oogstoperatie maakt gebruik van het routinematige karakter van hotelboekingscommunicatie,” zei het bedrijf. “De campagne maakt gebruik van dringende, bedrijfskritische onderwerpregels die zijn ontworpen om onmiddellijke actie van hotelmanagers en personeel te veroorzaken.”
De bevindingen volgen ook op de ontdekking van een lopende campagne die een opkomende phishing-as-a-service (PHAAS) heeft gebruikt, Salty 2FA met de naam Microsoft Login-referenties en Sidestep MFA door zes verschillende methoden te simuleren: SMS-authenticatie, authenticator-apps, telefoontjes, telefooncallaties, push-notificaties, back-upcodes, en hardware-takens.
De aanvalsketen is opmerkelijk voor het gebruik van diensten zoals AHA (.) IO om initiële bestemmingspagina’s te organiseren die zich voordoen als OneDrive Sharing -meldingen om e -mailontvangers te misleiden en ze te laten klikken op neplinks die omleiden naar de oogstpagina’s van de referentie, maar niet voordat een cloudflare Turnstile Verification Controle om geautomatiseerde beveiligingsmiddelen en sandboxen te filmen.
De phishing -pagina’s omvatten ook andere geavanceerde functies zoals geofencing en IP -filtering om verkeer te blokkeren van bekende beveiligingsleverancier IP -adresbereiken en cloudproviders, snelkoppelingen uitschakelen om ontwikkelaarstools in webbrowsers te lanceren en nieuwe subdomeinen toe te wijzen voor elke slachtoffersessie. Bij het opnemen van deze technieken is het einddoel om analyse -inspanningen te compliceren.
Deze bevindingen illustreren hoe phishing-aanvallen zijn gerijpt in bedrijfsactiviteiten, met behulp van geavanceerde ontwijkingstactieken en overtuigende MFA-simulaties, terwijl ze vertrouwde platforms benutten en bedrijfsportals nabootst om het moeilijker te maken om het onderscheid te maken tussen reële en frauduleuze activiteiten.
“De phishing -kit implementeert dynamische merkfunctionaliteit om de effectiviteit van sociale engineering te verbeteren,” zei Ontinue. “Uit technische analyse blijkt dat de kwaadaardige infrastructuur een bedrijfsthema -database onderhoudt die automatisch frauduleuze inloginterfaces aanpast op basis van e -maildomeinen van slachtoffer.”
“Salty2FA laat zien hoe cybercriminelen nu infrastructuur benaderen met dezelfde methodische planning die ondernemingen gebruiken voor hun eigen systemen. Wat dit bijzonder maakt, is hoe deze technieken de lijn vervagen tussen legitiem en kwaadaardig verkeer.”
