Hakeri sve više koriste HTTP klijentske alate za orkestriranje sofisticiranih napada preuzimanja naloga na Microsoft 365 okruženja.
Zapanjujućih 78% korisnika Microsofta 365 bilo je bar jednom na meti ovakvih napada, naglašavajući evoluirajuću taktiku hakera.
HTTP klijentski alati su softverske aplikacije ili biblioteke koje omogućavaju korisnicima da šalju HTTP zahtjeve i primaju odgovore od web servera.
Ovi alati omogućavaju prilagođavanje metoda zahtjeva (npr. GET, POST, PUT, DELETE), zaglavlja i korisnih podataka, čineći ih svestranim i za legitimne i u maliciozne svrhe.
U februaru 2018. istraživači Proofpoint-a su identifikovali široko rasprostranjenu kampanju koja koristi neuobičajenu verziju OkHttp klijenta (‘okhttp/3.2.0’) za ciljanje Microsoft 365 okruženja.
Istraživači u Proofpoint-u su primijetili da se ova kampanja, koja je trajala skoro četiri godine, fokusirala na visokovrijedne ciljeve kao što su rukovodioci na nivou C i privilegirani korisnici.
Napadači su iskoristili metode nabrajanja korisnika kako bi identifikovali važeće adrese e-pošte prije nego što su izvršili druge vektore prijetnji poput krađe identiteta i lozinke.
Od 2018. HTTP klijenti su i dalje glavni u napadima preuzimanja računa (ATO). Početkom 2024. dominirale su OkHttp varijante, ali do marta 2024. širi spektar HTTP klijenata je dobio na snazi.
Značajno je da je nedavna kampanja koja koristi Axios HTTP klijent postigla visoku stopu uspjeha, narušavajući 43% ciljanih korisničkih naloga. Axios, kada je uparen sa Adversary-in-the-Middle (AiTM) platformama kao što je Evilginx, omogućava krađu akreditiva, MFA tokena i tokena sesije.
Lanac napada
Prijetnje o krađi identiteta koje se prenose putem e-pošte omogućavaju krađu kredencijala korištenjem alata za reverzni proxy koji mogu ukrasti MFA tokene, što zauzvrat olakšava preuzimanje računa korištenjem ukradenih kredencijala pomoću alata kao što je Axios za ciljanje pravila poštanskog sandučića, eksfiltriranje podataka i kreiranje OAuth aplikacija.
Kada se pristup dobije, osjetljivi podaci se kradu, dozvole pristupa se mijenjaju i kreiraju se sigurne veze za dijeljenje za budući neovlašteni pristup.
Na primjer, Node Fetch, koji pojednostavljuje prijelaz sa izvornog HTTP-a na Fetch API u Node.js, korišten je za automatizaciju napada u velikim razmjerima, bilježeći preko 13 miliona pokušaja prijavljivanja sa prosječno 66.000 malicioznih pokušaja dnevno uprkos nedostatku mogućnosti presretanja sličnih Axios-u.
.webp)
Slično, u augustu 2024. Proofpoint je primijetio da su napadači počeli koristiti Go Resty – Go HTTP/REST klijent – u napadima bruteforce-a, trend koji je, iako je prestao do oktobra, naglasio evoluirajuću prirodu alata koje koriste hakeri.
Izvor: CyberSecurityNews