
Penjahat dunia maya semakin memanfaatkan serangan klien HTTP yang sah untuk memfasilitasi serangan pengambilalihan akun (ATO) pada lingkungan Microsoft 365.
Proofpoint Perusahaan Keamanan Perusahaan mengatakan bahwa mereka mengamati kampanye menggunakan klien HTTP Axios dan Node Fetch untuk mengirim permintaan HTTP dan menerima tanggapan HTTP dari server web dengan tujuan melakukan serangan ATO.
“Awalnya bersumber dari repositori publik seperti GitHub, alat-alat ini semakin banyak digunakan dalam serangan seperti musuh di tengah-tengah (AITM) dan teknik brute force, yang mengarah ke berbagai insiden pengambilalihan akun (ATO),” kata peneliti keamanan Anna Akselevich.

Penggunaan alat klien HTTP untuk serangan brute-force telah menjadi tren yang telah lama teramati sejak setidaknya Februari 2018, dengan iterasi berturut-turut menggunakan varian klien OKHTTP untuk menargetkan lingkungan Microsoft 365 setidaknya hingga awal 2024.
Tetapi pada Maret 2024, Proofpoint mengatakan mereka mulai mengamati berbagai macam klien HTTP yang mendapatkan traksi, dengan serangan menskalakan tinggi baru sehingga 78% penyewa Microsoft 365 ditargetkan setidaknya satu kali dengan upaya ATO pada paruh kedua kedua dari yang terakhir dari yang kedua dari yang kedua dari yang kedua terakhir tahun.
“Pada Mei 2024, serangan ini memuncak, memanfaatkan jutaan IP perumahan yang dibajak untuk menargetkan akun cloud,” kata Akselevich.
Volume dan keragaman upaya serangan ini dibuktikan dengan munculnya klien HTTP seperti Axios, Go Resty, Node Fetch, dan permintaan Python, dengan mereka yang menggabungkan penargetan presisi dengan teknik AITM yang mencapai tingkat kompromi yang lebih tinggi.
Axios, per proofpoint, dirancang untuk node.js dan browser dan dapat dipasangkan dengan platform AITM seperti Evilginx untuk memungkinkan pencurian kredensial dan kode otentikasi multi-faktor (MFA).
Aktor -aktor ancaman juga telah diamati menyiapkan aturan kotak surat baru untuk menyembunyikan bukti kegiatan jahat, mencuri data sensitif, dan bahkan mendaftarkan aplikasi OAuth baru dengan lingkup izin berlebihan untuk membangun akses jarak jauh yang persisten ke lingkungan yang dikompromikan.
Kampanye Axios dikatakan telah dipilih secara utama dari target bernilai tinggi seperti eksekutif, petugas keuangan, manajer akun, dan staf operasional di seluruh transportasi, konstruksi, keuangan, TI, dan vertikal layanan kesehatan.
Lebih dari 51% dari organisasi yang ditargetkan telah dinilai berhasil terkena dampak antara Juni dan November 2024, mengkompromikan 43% dari akun pengguna yang ditargetkan.

Perusahaan cybersecurity mengatakan juga mendeteksi kampanye penyemprotan kata sandi skala besar menggunakan klien Node Fetch dan Go Resty, merekam tidak kurang dari 13 juta upaya login sejak 9 Juni 2024, rata-rata lebih dari 66.000 upaya jahat per hari. Tingkat keberhasilan, bagaimanapun, tetap rendah, hanya mempengaruhi 2% dari entitas yang ditargetkan.
Lebih dari 178.000 akun pengguna yang ditargetkan di 3.000 organisasi telah diidentifikasi hingga saat ini, sebagian besar termasuk dalam sektor pendidikan, terutama akun pengguna siswa yang cenderung kurang terlindungi dan dapat dipersenjatai untuk kampanye lain atau dijual kepada berbagai aktor ancaman.
“Alat aktor ancaman untuk serangan ATO telah sangat berevolusi, dengan berbagai alat klien HTTP yang digunakan untuk mengeksploitasi API dan membuat permintaan HTTP,” kata Akselevich. “Alat -alat ini menawarkan keunggulan yang berbeda, membuat serangan lebih efisien.”
“Mengingat tren ini, penyerang cenderung terus beralih antara alat klien HTTP, mengadaptasi strategi untuk memanfaatkan teknologi baru dan menghindari deteksi, mencerminkan pola evolusi konstan yang lebih luas untuk meningkatkan efektivitasnya dan meminimalkan paparan.”