Proofpoint’in yakın tarihli bir raporu, Microsoft 365 hesaplarını hedeflemek için HTTP istemci araçlarını kullanan siber suçluların endişe verici bir eğilimini ortaya koydu.
Başlangıçta meşru kullanım için tasarlanan bu araçlar, şu anda büyük ölçekli hesap devralma (ATO) saldırıları için yeniden kullanılmakta, kaba kuvvet giriş girişimleri ve ortadaki düşman (AITM) teknikleri gibi taktikler kullanıyor.
Axios ve düğüm getirme gibi HTTP müşterilerine giderek artan bir güven ile bu kampanyalar, küresel olarak kuruluşlar için kritik bir tehdit oluşturan önemli başarı oranları göstermiştir.
AITM saldırılarında Axios’un yüksek başarı oranı
En çok bulgulardan biri, Node.js ve tarayıcılarda HTTP isteklerini hazırlamak için popüler bir araç olan Axios HTTP istemcisini içerir.
Bu istemciyi EvilGinX gibi ters proxy platformlarıyla entegre ederek, saldırganlar başarılı bir şekilde çok faktörlü kimlik doğrulama (MFA) mekanizmalarını atladı ve ortalama%38 başarı oranı olan hesap devralmalarını sağladı.
Bu saldırılar genellikle kimlik bilgilerini ve MFA jetonlarını çalmak için tasarlanmış kimlik avı e -postaları ile başlar.
Saldırganlar tehlikeye atıldıktan sonra Microsoft 365’in kesin hedeflenmesi için Axios’tan yararlanır Oturum açma portalları ve ortaklık sonrası eylemler, posta kutusu kurallarının değiştirilmesi, hassas verilerin eklenmesi ve kalıcı erişimi sürdürmek için kötü amaçlı OAuth uygulamaları oluşturulması yer alır.
Analiz, bu kampanyaların yöneticiler ve finans görevlileri gibi yüksek değerli hedeflere odaklanarak iyi organize olduğunu göstermektedir.
Haziran ve Kasım 2024 yılları arasında, Axios tabanlı operasyon hedeflenen kullanıcı hesaplarının% 43’ünü etkiledi ve hedeflediği kuruluşların yarısından fazlasını başarıyla ihlal etti.
Kaba kuvvet kampanyalarında düğüm getirilmesinin rolü
Paralel olarak, saldırganlar kaba kuvvet saldırıları yapmak için Node.js için bir HTTP kütüphanesi olan Düğüm Fetch’i kullanıyor.
Axios’un aksine, düğüm getirisi öncelikle parola püskürtme için kullanılır ve büyük ölçekli otomasyon için sadeliğinden yararlanır.
Haziran ve Aralık 2024 yılları arasında Proofpoint, düğüm getirme kullanarak 13 milyondan fazla giriş denemesini belgeledi ve günlük ortalama 66.000 yetkisiz girişimde bulundu.
Saldırganlar IP adreslerini sık sık döndürür ve eğitim kurumlarını hedeflemiştir, spam kampanyalarını beslemek veya çalıntı kimlik bilgilerini satmak için daha az korunan hesaplardan yararlanır.
Yüksek saldırı hacmine rağmen, düğüm getirme tabanlı kampanyalar daha düşük bir başarı oranı gösterdi ve hedeflenen kuruluşların sadece% 2’sini etkiledi.
Bununla birlikte, bu saldırıların saf ölçeği, gelişen tehdit manzarasını ve siber suçluların HTTP müşteri araçlarını kullanma çabalarını vurgulamaktadır.
Axios ve düğüm gibi HTTP müşterilerinin benimsenmesi, saldırı metodolojilerinde daha geniş bir kaymanın altını çiziyor.
HTTP trafiğini kesme, dönüştürme ve otomatikleştirme yeteneği ile bu araçlar, saldırganlara geleneksel güvenlik önlemlerini atlamak için güçlü özellikler sağlar.
Proofpoint raporu ayrıca, Go tabanlı bir HTTP istemcisi olan GO RESTY’nin yeni ancak kısa ömürlü bir kullanımını kaydetti ve bu da konuşlandırılan araç ve tekniklerde sürekli adaptasyonu gösterdi.
Kuruluşlara, sağlam algılama mekanizmaları uygulayarak, HTTP istemcilerinin kötü niyetli kullanımını izleyerek ve AITM tekniklerine direnmek için MFA konfigürasyonlarını geliştirerek bu tür tehditlere karşı savunmalarını güçlendirmeleri tavsiye edilir.
Saldırganlar yaklaşımlarını geliştirmeye devam ettikçe, proaktif önlemler ve güncellenen tehdit istihbaratı, bu gelişen saldırıların ortaya koyduğu riskleri azaltmak için çok önemlidir.
Yeniden tasarlanan HTTP müşterilerine olan bu artan güven, ortaya çıkan hesap devralma stratejileriyle mücadele etmek için siber güvenlik çözümlerine artan uyanıklık ve yatırım ihtiyacına işaret ediyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free