Los ciberdelincuentes están aprovechando cada vez más las herramientas legítimas del cliente HTTP para facilitar los ataques de adquisición de cuentas (ATO) en entornos de Microsoft 365.
Enterprise Security Company PruebePoint dijo que observó campañas que utilizan los clientes HTTP Axios y Node para enviar solicitudes HTTP y recibir respuestas HTTP de los servidores web con el objetivo de realizar ataques ATO.
“Originalmente de repositorios públicos como Github, estas herramientas se usan cada vez más en ataques como adversario en el medio (AITM) y técnicas de fuerza bruta, lo que lleva a numerosos incidentes de adquisición de cuentas (ATO)”, la investigadora de seguridad Anna Akselevich dicho.
El uso de herramientas de clientes HTTP para ataques con fuerza bruta ha sido una tendencia obsesionada desde al menos febrero de 2018, con iteraciones sucesivas que emplean variantes de clientes OKTTP para apuntar a los entornos Microsoft 365 al menos hasta principios de 2024.
Pero para marzo de 2024, Proofpoint dijo que comenzó a observar una amplia gama de clientes HTTP que ganaban tracción, con los ataques escalando un nuevo máximo de tal manera que el 78% de los inquilinos de Microsoft 365 fueron atacados al menos una vez por un intento de ATO en la segunda mitad de la última. año.
“En mayo de 2024, estos ataques alcanzaron su punto máximo, aprovechando a millones de IP residenciales secuestradas para atacar cuentas de nubes”, dijo Akselevich.
El volumen y la diversidad de estos intentos de ataque se evidencia por la aparición de clientes HTTP como Axios, Go Resty, Node Retch y Python Solicitaciones, con aquellos que combinan precisión con técnicas AITM que logran una tasa de compromiso más alta.
Axios, por punto de prueba, está diseñado para Node.js y navegadores y se pueden combinar con plataformas AITM como EvilGinX para habilitar el robo de credenciales y códigos de autenticación multifactor (MFA).
También se ha observado que los actores de la amenaza establecen nuevas reglas del buzón para ocultar la evidencia de actividades maliciosas, robar datos confidenciales e incluso registrar una nueva aplicación OAuth con ámbitos de permiso excesivos para establecer un acceso remoto persistente al entorno comprometido.
Se dice que la campaña de Axios ha señalado principalmente objetivos de alto valor como ejecutivos, oficiales financieros, gerentes de cuentas y personal operativo en el transporte, construcción, finanzas, TI y verticales de atención médica.
Se ha evaluado que más del 51% de las organizaciones específicas se ven afectadas con éxito entre junio y noviembre de 2024, comprometiendo el 43% de las cuentas de usuario específicas.
La compañía de seguridad cibernética dijo que también detectó una campaña de pulverización de contraseñas a gran escala utilizando clientes de nodo Fetch and Go Resty, registrando no menos de 13 millones de intentos de inicio de sesión desde el 9 de junio de 2024, con un promedio de más de 66,000 intentos maliciosos por día. Sin embargo, la tasa de éxito se mantuvo baja, afectando solo al 2% de las entidades dirigidas.
Hasta la fecha, se han identificado más de 178,000 cuentas de usuarios específicas en 3.000 organizaciones, la mayoría de las cuales pertenecen al sector educativo, particularmente las cuentas de los usuarios de los estudiantes que probablemente estén menos protegidos y puedan ser armados para otras campañas o venderse a diferentes actores de amenazas.
“Las herramientas de los actores de amenaza para los ataques de ATO han evolucionado enormemente, con varias herramientas de clientes HTTP utilizadas para explotar las API y realizar solicitudes HTTP”, dijo Akselevich. “Estas herramientas ofrecen ventajas distintas, haciendo que los ataques sean más eficientes”.
“Dada esta tendencia, es probable que los atacantes continúen cambiando entre las herramientas del cliente HTTP, adaptando estrategias para aprovechar las nuevas tecnologías y evadir la detección, lo que refleja un patrón más amplio de evolución constante para mejorar su efectividad y minimizar la exposición”.
About the Author
