Cybercriminelen gebruiken in toenemende mate legitieme HTTP -clienttools om ATO -aanvallen (ATO) -aanvallen op Microsoft 365 -omgevingen te vergemakkelijken.
Enterprise Security Company Proofpoint zei dat het campagnes observeerde met behulp van HTTP -clients Axios en Node Fetch om HTTP -aanvragen te verzenden en HTTP -antwoorden te ontvangen van webservers met als doel ATO -aanvallen uit te voeren.
“Oorspronkelijk afkomstig van openbare repositories zoals GitHub, worden deze tools in toenemende mate gebruikt bij aanvallen zoals tegenstanders-in-the-midden (AITM) en brute force-technieken, wat leidt tot tal van incidenten van Accountovernover (ATO),” zei beveiligingsonderzoeker Anna Akselevich.
Het gebruik van HTTP-clienttools voor brute-force-aanvallen is sinds ten minste februari 2018 een langbewerkte trend, met opeenvolgende iteraties die varianten van OKHTTP-clients gebruiken om Microsoft 365-omgevingen ten minste tot begin 2024 te richten.
Maar in maart 2024 zei Proofpoint dat het een breed scala van HTTP -klanten begon te observeren die grip hadden, waarbij de aanvallen een nieuwe high opschalen zodat 78% van de Microsoft 365 -huurders minstens één keer was gericht door een ATO -poging tegen de tweede helft van de laatste jaar.
“In mei 2024 piekten deze aanvallen, die miljoenen gekaapte residentiële IP’s gebruikten om zich te richten op cloudaccounts,” zei Akselevich.
Het volume en de diversiteit van deze aanvalspogingen wordt bewezen door de opkomst van HTTP -clients zoals Axios, Go Resty, Node Fetch en Python -aanvragen, waarbij degenen die precisie -targeting combineren met AITM -technieken die een hoger compromissnelheid bereiken.
Axios, per Proofpoint, is ontworpen voor Node.js en browsers en kan worden gekoppeld aan AITM-platforms zoals Evilginx om diefstal van referenties en multi-factor authenticatie (MFA) -codes mogelijk te maken.
De dreigingsactoren zijn ook waargenomen om nieuwe mailboxregels op te zetten om bewijs van kwaadaardige activiteiten te verbergen, gevoelige gegevens te stelen en zelfs een nieuwe OAuth -applicatie te registreren met overmatige toestemmingscopes om aanhoudende externe toegang tot de gecompromitteerde omgeving te vestigen.
De Axios-campagne zou voornamelijk hoogwaardige doelen hebben uitgekozen, zoals leidinggevenden, financiële functionarissen, accountmanagers en operationeel personeel over transport, constructie, financiën, IT en gezondheidszorg verticals.
Meer dan 51% van de beoogde organisaties is tussen juni en november 2024 met succes getroffen, waardoor 43% van de gerichte gebruikersaccounts in gevaar wordt gebracht.
Het cybersecuritybedrijf zei dat het ook een grootschalige campagne voor wachtwoordspuit had gedetecteerd met behulp van knooppunthaal- en Go Resty-klanten, die niet minder dan 13 miljoen inlogpogingen registreren sinds 9 juni 2024, gemiddeld meer dan 66.000 kwaadaardige pogingen per dag. Het slagingspercentage bleef echter laag en treft slechts 2% van de gerichte entiteiten.
Tot op heden zijn meer dan 178.000 gerichte gebruikersaccounts in 3.000 organisaties geïdentificeerd, waarvan de meerderheid tot de onderwijssector behoort, met name studentenaccounts die waarschijnlijk minder worden beschermd en kunnen worden bewapend voor andere campagnes of worden verkocht aan verschillende dreigingsactoren.
“De tools van bedreigingsacteurs voor ATO -aanvallen zijn sterk geëvolueerd, met verschillende HTTP -clienttools die worden gebruikt voor het exploiteren van API’s en het indienen van HTTP -aanvragen,” zei Akselevich. “Deze tools bieden duidelijke voordelen, waardoor aanvallen efficiënter worden.”
“Gezien deze trend zullen aanvallers waarschijnlijk doorgaan met het overschakelen tussen HTTP -clienttools, strategieën aanpassen om nieuwe technologieën te benutten en detectie te ontwijken, een breder patroon van constante evolutie weerspiegelen om hun effectiviteit te verbeteren en blootstelling te minimaliseren.”
