Tehdit aktörleri, Reliaquest’in yeni bulgularına göre, son kimlik avı kampanyalarında bir “yüksek verimli saldırı boru hattı” oluşturmak için Microsoft’un doğrudan gönderme özelliği ile birlikte Axios gibi HTTP istemci araçlarını kötüye kullanıyor.
Siber güvenlik şirketi, hacker News ile paylaşılan bir raporda, “Axios kullanıcı ajanı etkinliği Haziran’dan Ağustos 2025’e kadar% 241 arttı ve diğer tüm işaretlenmiş kullanıcı ajanlarının% 85 büyümesini birleştirdi.” Dedi. “Bu zaman diliminde gözlemlenen 32 işaretli kullanıcı ajanından Axios, tüm aktivitelerin% 24,44’ünü oluşturdu.”
Axios’un kötüye kullanılması daha önce Ocak 2025’te Proofpoint tarafından işaretlenmiş ve HTTP istemcilerini HTTP istekleri göndermek ve Web sunucularından Microsoft 365 ortamlarına hesap devralma (ATO) saldırıları yapmak için HTTP yanıtları almak için detaylandırılmıştır.
Reliaquest, Hacker News’e, bu faaliyetlerin ilgili olduğunu öne sürecek hiçbir kanıt bulunmadığını ve aracın popüler kimlik avı kitlerinin yanında düzenli olarak sömürüldüğünü de sözlerine ekledi. Şirket, “Axios’un yararlılığı, sofistike düzey veya motivasyondan bağımsız olarak her türlü tehdit aktörü tarafından neredeyse kesinlikle benimsenmesi anlamına geliyor.”
Benzer şekilde, kimlik avı kampanyaları, Microsoft 365’te (M365) doğrudan Güvenilir kullanıcılara gönderilen ve e -posta mesajlarını dağıtmak olarak adlandırılan meşru bir özellik kullanılarak giderek daha fazla gözlenmiştir.
Microsoft Direct Send aracılığıyla Axios istismarını güçlendirirken, saldırı, mesajlarının güvenli ağ geçitlerinden geçmesini ve kullanıcıların gelen kutularına inmesini sağlamak için güvenilir bir teslimat yöntemini silahlandırmayı amaçlamaktadır. Gerçekten de, Axios’u doğrudan gönderme ile eşleştiren saldırıların, son kampanyalarda% 70 başarı oranına ulaştığı ve Axios olmayan kampanyaları “benzersiz verimlilik” ile artırdığı bulundu.
Reliaquest tarafından gözlemlenen kampanyanın Temmuz 2025’te başladığı, başlangıçta yöneticileri ve yöneticileri finans, sağlık ve üretim sektörlerinde seçtiği söyleniyor.
Yaklaşımı saldırganlar için bir oyun değiştirici olarak adlandıran şirket, kampanyanın sadece geleneksel güvenlik savunmalarını gelişmiş hassasiyetle atlamada başarılı olmadığını, aynı zamanda kimlik avı operasyonlarını benzeri görülmemiş bir ölçekte monte etmelerini sağladığını belirtti.
Bu saldırılarda AXIOS, HTTP isteklerini kesmek, değiştirmek ve tekrarlamak için kullanılır, böylece hassas kaynaklara erişim elde etmek için Oturum jetonlarını veya çok faktörlü kimlik doğrulama (MFA) kodlarını gerçek zamanlı olarak veya Azure Kimlik Doğrulama İş Akışlarında Sazlık Tokenleri’ni kullanmayı mümkün kılar.
Reliaquest, “Saldırganlar bu kör noktayı MFA’yı atlamak, seans jetonlarını kapatmak ve kimlik avı iş akışlarını otomatikleştirmek için kullanıyorlar.” Dedi. “Axios tarafından sunulan özelleştirilebilirlik, saldırganların etkinliklerini meşru iş akışlarını daha da taklit etmek için uyarlamasına izin veriyor.”
E-posta mesajları, alıcıları kötü niyetli QR kodları içeren PDF belgelerini açmaya kandırmak için tazminat temalı lures kullanmayı, kullanıcıları kimlik bilgisi hırsızlığını kolaylaştırmak için Microsoft Outlook’u taklit eden sahte giriş sayfalarını yönlendirmeye yönlendirir. Ekstra bir savunma kaçırma katmanı olarak, bu sayfaların bazıları uygulama geliştirme platformunun itibarından yararlanmak için Google Firebase altyapısında barındırılmaktadır.
Sofistike saldırılar için teknik engeli düşürmenin yanı sıra, Axios’un işletme ve geliştirici kurulumlarındaki yaygınlığı, saldırganlara düzenli trafikle karışmak ve radarın altında uçmak için bir yol sunduğu anlamına geliyor.
Bu tehdide neden olan riski azaltmak için kuruluşların, gerekli değilse doğrudan gönderme ve devre dışı bırakmaları, e-posta ağ geçitlerinde uygun anti-karma politikaları yapılandırmaları, çalışanları kimlik avı e-postalarını tanımaları ve şüpheli alanları engellemeleri önerilir.
“Axios, ilk erişim ve tam ölçekli sömürü arasındaki boşluğu doldurarak kimlik avı kampanyalarının etkisini güçlendiriyor. Kimlik doğrulama iş akışlarını manipüle etme ve HTTP isteklerini tekrarlama yeteneği, saldırganların çalınan kimlik bilgilerini hem ölçeklenebilir hem de hassas bir şekilde silahlandırmasına izin veriyor.”
“Bu, Axios’u doğrudan gönderen kimlik avı kampanyalarının artan başarısının ayrılmaz bir parçası haline getiriyor ve saldırganların geleneksel kimlik doğrulama sistemlerini ve API’leri geleneksel savunmaların işlenecek şekilde donanımlı olduğu düzeyde nasıl kullandığını gösteriyor.”
Geliştirme, Mimecast’in misafir rezervasyonu onayları ve ortak merkezi bildirimler olduğunu iddia eden e-postalarda Expedia ortağı Central ve Cloudbeds’i taklit ederek misafirperverlik endüstrisi profesyonellerini hedefleyen büyük ölçekli bir kimlik bilgisi hasat kampanyası detaylandırıldığı için geliyor.
Şirket, “Bu kimlik bilgisi hasat operasyonu otel rezervasyonu iletişiminin rutin doğasından yararlanıyor.” Dedi. “Kampanya, otel yöneticilerinden ve personelden derhal harekete geçecek şekilde tasarlanmış acil, iş açısından kritik konu çizgileri kullanıyor.”
Bulgular ayrıca, Microsoft giriş kimlik bilgilerini çalmak için Salty 2FA adlı yeni bir Hizmet Olarak Kimlik Avı (PHAA’lar) kullanan devam eden bir kampanyanın keşfini izliyor: SMS kimlik doğrulaması, kimlik doğrulama, telefon görüşmeleri, push bildirimleri, yedekleme kodları ve sabit makaralar.
Saldırı zinciri, AHA gibi hizmetlerden yararlanmak için dikkat çekiyor[.]IO, e -posta alıcılarını aldatmak ve kimlik bilgisi hasat sayfalarına yönlendiren sahte bağlantıları tıklamaya tıklamaya, ancak otomatik güvenlik araçlarını ve sanal alanlarını filtrelemek için bir CloudFlare Turnstile doğrulama kontrolünü tamamlamaya tıklamaya kandırmak için onedrive paylaşım bildirimleri olarak maskelenen ilk açılış sayfalarını sahne almak.
Kimlik avı sayfaları ayrıca, bilinen güvenlik satıcısı IP adres aralıklarından ve bulut sağlayıcılarından gelen trafiği engellemek için coğrafi işleme ve IP filtreleme gibi diğer gelişmiş özellikleri de içerir, web tarayıcılarında geliştirici araçlarını başlatmak için kısayolları devre dışı bırakır ve her kurban oturumu için yeni alt alanlar atar. Bu teknikleri dahil ederken, nihai amaç analiz çabalarını karmaşıklaştırmaktır.
Bu bulgular, kimlik avı saldırılarının kurumsal sınıf operasyonlarına nasıl olgunlaştığını, ileri kaçakçılaşım taktiklerini ve ikna edici MFA simülasyonlarını kullanırken, güvenilir platformlardan yararlanarak ve kurumsal portalları gerçek ve hileli faaliyetleri ayırt etmeyi zorlaştırmak için taklit ettiğini göstermektedir.
OnTinue, “Kimlik avı kiti, sosyal mühendislik etkinliğini artırmak için dinamik marka işlevselliği uyguluyor.” Dedi. “Teknik analiz, kötü amaçlı altyapının, kurban e -posta alanlarına dayalı olarak hileli giriş arayüzlerini otomatik olarak özelleştiren kurumsal bir tema veritabanını koruduğunu ortaya koyuyor.”
“Salty2fa, siber suçluların şu anda altyapıya nasıl işletmelerin kendi sistemleri için kullandığı metodik planlama ile nasıl yaklaştığını göstermektedir. Bunu özellikle ilgili kılan şey, bu tekniklerin meşru ve kötü niyetli trafik arasındaki çizgiyi nasıl bulanıklaştırdığıdır.”