行業新聞與博客

據觀察，網絡犯罪分子越來越多地利用合法的 HTTP 客户端工具對 Microsoft 365 環境執行帳户接管 (ATO) 攻擊。

Proofpoint 的最新發現顯示，2024 年 78% 的 Microsoft 365 租户使用不同的 HTTP 客户端遭遇了至少一次 ATO 攻擊。與前六個月相比，此類攻擊增加了 7%。

基於 HTTP 的攻擊的演變

Proofpoint 研究人員發現，攻擊者長期以來一直利用廣泛使用的 HTTP 客户端工具來執行惡意活動。這些工具最初是為 Web 開發和自動化而設計的，現在被用於暴力攻擊和中間人 (AiTM) 技術。

2018 年，攻擊者使用不常見的 OkHttp 客户端版本 (okhttp/3.2.0) 發起了一場持續近四年的攻擊活動。到 2021 年，這種方法的攻擊次數達到峯值，每月攻擊次數達數萬次，隨後逐漸減少。自 2024 年初以來，python-request 和 Axios 等較新的 HTTP 客户端變得更加突出。

Axios HTTP 客户端高成功率

近期最有效的攻擊方法之一涉及 Axios HTTP 客户端，該客户端集成了 AiTM 技術以繞過多因素身份驗證 (MFA)。基於 Axios 的攻擊成功率為 43% – 遠高於傳統的暴力攻擊。

關鍵攻擊步驟包括：

• 通過電郵釣魚和反向代理工具竊取憑證
• 使用被盜憑證和 MFA 令牌進行賬户接管
• 入侵後的操作， 例如修改郵箱規則、泄露數據和註冊 OAuth 應用程序以實現持久訪問

節點獲取和大規模暴力攻擊

另一項活動使用 Node Fetch 客户端進行暴力密碼噴灑攻擊。自 2024 年 6 月以來，這種方法已產生超過 1300 萬次登錄嘗試，平均每天 66,000 次。儘管規模龐大，但成功率仍然很低，僅為 2%。

攻擊者主要針對教育領域的學生賬户，利用其相對較弱的安全性。自 2024 年中期以來，已有超過 3000 個組織和 178,000 個用户賬户成為攻擊目標。

新興趨勢和未來威脅

2024 年 8 月，Proofpoint 研究人員檢測到了向基於 Go 的 HTTP 客户端 Go Resty 的轉變。雖然這種方法取得了有限的成功，並於 10 月停止，但這表明網絡犯罪分子正在不斷適應。

由於 HTTP 客户端提供自動化和靈活性，攻擊者可能會繼續改進其策略以最大限度地提高效率並逃避檢測。建議組織加強對 HTTP 客户端活動的監控，並採用更強大的身份驗證機制來緩解這些威脅。