I criminali informatici stanno sempre più sfruttando le legittime strumenti consumer HTTP per facilitare gli attacchi di acquisizione dell’account (ATO) agli ambienti Microsoft 365.
Enterprise Safety Firm Proofpoint ha dichiarato di aver osservato campagne utilizzando i consumer HTTP Axios e il nodo Fetch per inviare richieste HTTP e ricevere risposte HTTP dai server Net con l’obiettivo di condurre attacchi ATO.
“Originariamente provenienti da repository pubblici come GitHub, questi strumenti sono sempre più utilizzati in attacchi come le tecniche di avversario-in-the-middle (AITM) e Brute Drive, portando a numerosi incidenti di acquisizione di account (ATO)”, il ricercatore della sicurezza Anna Akselevich disse.
L’uso di strumenti consumer HTTP per gli attacchi di forza bruta è stato una tendenza osservata da lungo tempo almeno febbraio 2018, con iterazioni successive che impiegano varianti di clienti OKHTTP per colpire gli ambienti Microsoft 365 almeno fino all’inizio del 2024.
Ma nel marzo 2024, Proofpoint ha dichiarato di aver iniziato a osservare una vasta gamma di clienti HTTP che guadagnavano trazione, con gli attacchi che ridimensionano un nuovo massimo in modo story che il 78% degli inquilini di Microsoft 365 sia stato preso di mira almeno una volta da un tentativo ATO da parte della seconda metà dell’ultimo anno.
“Nel maggio 2024, questi attacchi hanno raggiunto il picco, sfruttando milioni di IP residenziali dirottati per colpire gli account cloud”, ha detto Akselevich.
Il quantity e la diversità di questi tentativi di attacco sono evidenziati dall’emergere di clienti HTTP come Axios, Go Resty, Node Fetch e Python, con quelli che combinano il focusing on di precisione con le tecniche AITM che raggiungono un tasso di compromesso più elevato.
Axios, per prova, è progettato per node.js e browser e può essere abbinato a piattaforme AITM come Evilginx per consentire il furto di credenziali e i codici MFA di autenticazione a più fattori (MFA).
Gli attori delle minacce sono stati inoltre osservati istituindo nuove regole della cassetta postale per nascondere show di attività dannose, rubare dati sensibili e persino registrare una nuova applicazione OAuth con ambiti di autorizzazione eccessivi per stabilire un persistente accesso remoto all’ambiente compromesso.
Si cube che la campagna Axios abbia individuato principalmente obiettivi di alto valore come dirigenti, funzionari finanziari, gestori di account e personale operativo attraverso i trasporti, la costruzione, la finanza, l’IT e le verticali sanitarie.
È stato valutato oltre il 51% delle organizzazioni mirate per essere influenzate con successo tra giugno e novembre 2024, compromettendo il 43% dei conti utente mirati.
La società di sicurezza informatica ha affermato di aver rilevato anche una campagna di spruzzatura di password su larga scala utilizzando i clienti di Node Fetch e Go Resty, registrando non meno di 13 milioni di tentativi di accesso dal 9 giugno 2024, con una media di oltre 66.000 tentativi dannosi al giorno. Il tasso di successo, tuttavia, è rimasto basso, colpendo solo il 2% delle entità mirate.
Fino advert oggi sono stati identificati più di 178.000 account utente mirati in 3.000 organizzazioni, la maggior parte dei quali appartiene al settore dell’istruzione, in particolare conti degli utenti degli studenti che potrebbero essere meno protetti e possono essere armati per altre campagne o vendute a diversi attori delle minacce.
“Gli strumenti degli attori delle minacce per gli attacchi ATO si sono notevolmente evoluti, con vari strumenti consumer HTTP utilizzati per sfruttare le API e effettuare richieste HTTP”, ha affermato Akselevich. “Questi strumenti offrono vantaggi distinti, rendendo gli attacchi più efficienti.”
“Knowledge questa tendenza, è probabile che gli aggressori continuino a passare tra gli strumenti consumer HTTP, adattando le strategie per sfruttare le nuove tecnologie ed eludere il rilevamento, riflettendo un modello più ampio di costante evoluzione per migliorare la loro efficacia e ridurre al minimo l’esposizione.”
