网络犯罪分子正越来越多地利用合法的HTTP客户端工具,对Microsoft 365环境发动账户接管(ATO)攻击。
企业安全公司Proofpoint表示,该公司观察到有人使用HTTP客户端Axios和Node Fetch发送HTTP请求,并从Web服务器接收HTTP响应,以实施ATO攻击。
"安全研究员 Anna Akselevich 说:"这些工具最初来自 GitHub 等公共资源库,现在越来越多地用于中间对抗(AitM)和暴力技术等攻击,导致了大量账户接管(ATO)事件。
至少从2018年2月开始,使用HTTP客户端工具进行暴力破解攻击已经成为一种长期观察到的趋势,至少在2024年初之前,使用OkHttp客户端变种针对微软365环境的攻击一直在不断迭代。
但到了2024年3月,Proofpoint表示,它开始观察到各种HTTP客户端获得了牵引力,攻击规模创下新高,到去年下半年,78%的Microsoft 365租户至少有一次成为ATO尝试的目标。
"Akselevich 说:"2024 年 5 月,这些攻击达到顶峰,利用数百万被劫持的住宅 IP 攻击云账户。
Axios、Go Resty、Node Fetch和Python Requests等HTTP客户端的出现证明了这些攻击尝试的数量和多样性,其中那些将精准定位与AitM技术相结合的客户端实现了更高的破坏率。
根据 Proofpoint 的说法,Axios 是专为 Node.js 和浏览器设计的,可与 Evilginx 等 AitM 平台搭配使用,以实现凭证和多因素身份验证(MFA)代码的窃取。
据观察,威胁行为者还设置了新的邮箱规则,以隐藏恶意活动的证据、窃取敏感数据,甚至使用过大的权限范围注册新的 OAuth 应用程序,以建立对受损环境的持续远程访问。
据说,Axios 的攻击活动主要针对高价值目标,如运输、建筑、金融、IT 和医疗保健等垂直行业的高管、财务人员、客户经理和业务人员。
据评估,在 2024 年 6 月至 11 月期间,超过 51% 的目标组织受到了成功影响,43% 的目标用户账户遭到入侵。
该网络安全公司称,它还检测到利用 Node Fetch 和 Go Resty 客户端进行的大规模密码喷涂活动,自 2024 年 6 月 9 日以来记录到不少于 1300 万次登录尝试,平均每天超过 66000 次恶意尝试。不过,成功率仍然很低,仅影响了 2% 的目标实体。
迄今为止,已发现 3,000 个组织的 178,000 多个目标用户账户,其中大部分属于教育部门,特别是学生用户账户,这些账户可能受到的保护较少,可被用于其他活动或出售给不同的威胁行为者。
"阿克谢列维奇说:"威胁者用于ATO攻击的工具已经发生了很大变化,各种HTTP客户端工具被用于利用API和提出HTTP请求。"这些工具具有明显的优势,使攻击更有效率。
"鉴于这种趋势,攻击者很可能会继续在 HTTP 客户端工具之间切换,调整策略以利用新技术和逃避检测,这反映了一种更广泛的不断演变模式,以提高其有效性并最大限度地减少暴露。"
信息来源:https://thehackernews.com/2025/02/cybercriminals-use-axios-and-node-fetch.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局