行业新闻与博客

据观察，网络犯罪分子越来越多地利用合法的 HTTP 客户端工具对 Microsoft 365 环境执行帐户接管 (ATO) 攻击。

Proofpoint 的最新发现显示，2024 年 78% 的 Microsoft 365 租户使用不同的 HTTP 客户端遭遇了至少一次 ATO 攻击。与前六个月相比，此类攻击增加了 7%。

基于 HTTP 的攻击的演变

Proofpoint 研究人员发现，攻击者长期以来一直利用广泛使用的 HTTP 客户端工具来执行恶意活动。这些工具最初是为 Web 开发和自动化而设计的，现在被用于暴力攻击和中间人 (AiTM) 技术。

2018 年，攻击者使用不常见的 OkHttp 客户端版本 (okhttp/3.2.0) 发起了一场持续近四年的攻击活动。到 2021 年，这种方法的攻击次数达到峰值，每月攻击次数达数万次，随后逐渐减少。自 2024 年初以来，python-request 和 Axios 等较新的 HTTP 客户端变得更加突出。

Axios HTTP 客户端高成功率

近期最有效的攻击方法之一涉及 Axios HTTP 客户端，该客户端集成了 AiTM 技术以绕过多因素身份验证 (MFA)。基于 Axios 的攻击成功率为 43% – 远高于传统的暴力攻击。

关键攻击步骤包括：

• 通过电子邮件钓鱼和反向代理工具窃取凭证
• 使用被盗凭证和 MFA 令牌进行账户接管
• 入侵后的操作， 例如修改邮箱规则、泄露数据和注册 OAuth 应用程序以实现持久访问

节点获取和大规模暴力攻击

另一项活动使用 Node Fetch 客户端进行暴力密码喷洒攻击。自 2024 年 6 月以来，这种方法已产生超过 1300 万次登录尝试，平均每天 66,000 次。尽管规模庞大，但成功率仍然很低，仅为 2%。

攻击者主要针对教育领域的学生账户，利用其相对较弱的安全性。自 2024 年中期以来，已有超过 3000 个组织和 178,000 个用户账户成为攻击目标。

新兴趋势和未来威胁

2024 年 8 月，Proofpoint 研究人员检测到了向基于 Go 的 HTTP 客户端 Go Resty 的转变。虽然这种方法取得了有限的成功，并于 10 月停止，但这表明网络犯罪分子正在不断适应。

由于 HTTP 客户端提供自动化和灵活性，攻击者可能会继续改进其策略以最大限度地提高效率并逃避检测。建议组织加强对 HTTP 客户端活动的监控，并采用更强大的身份验证机制来缓解这些威胁。