Siber suçlular, Microsoft 365 ortamlarına hesap devralma (ATO) saldırılarını kolaylaştırmak için meşru HTTP istemci araçlarını giderek daha fazla kullanıyor.
Kurumsal Güvenlik Şirketi Proofpoint, HTTP istekleri göndermek ve ATO saldırıları yapmak amacıyla Web sunucularından HTTP yanıtları almak için HTTP istemcileri Axios ve Düğüm Getirme kullanan kampanyaları gözlemlediğini söyledi.
Güvenlik araştırmacısı Anna Akselevich, “Başlangıçta GitHub gibi kamu depolarından kaynaklanan bu araçlar, ortada düşman (AITM) ve kaba kuvvet teknikleri gibi saldırılarda giderek daha fazla kullanılmaktadır.” söz konusu.
Brute-Force saldırıları için HTTP istemci araçlarının kullanılması, en azından Şubat 2018’den bu yana uzun zamandır gözlemlenen bir eğilim olmuştur ve OKHTTP müşterilerinin Microsoft 365 ortamlarını en azından 2024’ün başlarına kadar hedeflemek için varyantlarını kullanan birbirini izleyen yinelemelerdir.
Ancak Mart 2024’e kadar Proofpoint, çok çeşitli HTTP müşterilerinin çekiş kazanmasını gözlemlemeye başladığını söyledi, saldırılar Microsoft 365 kiracılarının% 78’inin sonuncusu bir ATO girişimi ile en az bir kez hedeflenecek şekilde yeni bir zirveyi ölçeklendiriyor. yıl.
Akselevich, “Mayıs 2024’te bu saldırılar zirveye çıktı ve bulut hesaplarını hedeflemek için milyonlarca kaçırılan konut IP’lerini kullandı.” Dedi.
Bu saldırı girişimlerinin hacmi ve çeşitliliği, AXIS, Go Resty, Düğüm Getirme ve Python istekleri gibi HTTP müşterilerinin ortaya çıkmasıyla kanıtlanmıştır, bu da hassas hedeflemeyi AITM teknikleriyle birleştirenler daha yüksek bir uzlaşma oranı elde eder.
Axios, Proofpoint’e göre, Node.js ve tarayıcılar için tasarlanmıştır ve kimlik bilgilerinin ve çok faktörlü kimlik doğrulama (MFA) kodlarının çalınmasını sağlamak için EvilGinX gibi AITM platformları ile eşleştirilebilir.
Tehdit aktörleri, kötü niyetli faaliyetlerin kanıtlarını gizlemek, hassas verileri çalmak ve hatta tehlikeye atılan ortama kalıcı uzaktan erişim sağlamak için aşırı izin kapsamlarıyla yeni bir OAuth uygulaması kaydetmek için yeni posta kutusu kuralları oluşturuldu.
AXIOS kampanyasının, ulaşım, inşaat, finans, BT ve sağlık dikeyleri boyunca yöneticiler, finans görevlileri, hesap yöneticileri ve operasyonel personel gibi yüksek değerli hedefleri seçtiği söyleniyor.
Hedeflenen kuruluşların% 51’inden fazlasının Haziran ve Kasım 2024 arasında başarılı bir şekilde etkilendiği ve hedeflenen kullanıcı hesaplarının% 43’ünü tehlikeye attığı değerlendirilmiştir.
Siber güvenlik şirketi, 9 Haziran 2024’ten bu yana günde 66.000’den fazla kötü niyetli denemenin ortalaması alarak, düğüm Getch ve Go Resty müşterileri kullanarak büyük ölçekli bir şifre püskürtme kampanyası tespit ettiğini söyledi. Ancak başarı oranı düşük kaldı ve hedeflenen varlıkların sadece% 2’sini etkiledi.
Bugüne kadar, çoğunluğu eğitim sektörüne, özellikle de daha az korunması ve diğer kampanyalar için silahlandırılabilen veya farklı tehdit aktörlerine satılabilen öğrenci kullanıcı hesaplarına ait olan 178.000’den fazla hedefli kullanıcı hesabı tespit edilmiştir.
Akselevich, “Tehdit aktörlerinin ATO saldırıları için araçları büyük ölçüde gelişti, API’leri kullanmak ve HTTP istekleri yapmak için kullanılan çeşitli HTTP istemci araçları.” Dedi. “Bu araçlar, saldırıları daha verimli hale getirerek farklı avantajlar sunuyor.”
“Bu eğilim göz önüne alındığında, saldırganların HTTP istemci araçları arasında geçiş yapmaya devam etmesi, stratejileri yeni teknolojilerden yararlanmak ve algılamadan kaçacak, etkinliklerini artırmak ve maruziyeti en aza indirmek için daha geniş bir sabit evrim modelini yansıtan.”
