Los ciberdelincuentes están aprovechando cada vez más las herramientas legítimas del cliente HTTP para entregar los ataques de adquisición de cuentas (ATO) en entornos de Microsoft 365.
Enterprise Security Company PruebePoint dijo que observó campañas que utilizan los clientes HTTP Axios y Node para mandar solicitudes HTTP y aceptar respuestas HTTP de los servidores web con el objetivo de realizar ataques ATO.
“Originalmente de repositorios públicos como GitHub, estas herramientas se usan cada vez más en ataques como los incidentes adversarios en el medio (AITM) y la fuerza bruta, lo que lleva a numerosos incidentes de adquisición de cuentas (ATO)”, dijo la investigadora de seguridad Anna Akselevich.
El uso de herramientas de clientes HTTP para ataques con fuerza bruta ha sido una tendencia obsesionada desde al menos febrero de 2018, con iteraciones sucesivas que emplean variantes de clientes OKTTP para apuntar a los entornos Microsoft 365 al menos hasta principios de 2024.
Pero para marzo de 2024, Proofpoint dijo que comenzó a observar una amplia variedad de clientes HTTP que ganaban tracción, con los ataques escalando un nuevo mayor de tal modo que el 78% de los inquilinos de Microsoft 365 fueron atacados al menos una vez por un intento de ATO en la segunda centro de la última. año.
“En mayo de 2024, estos ataques alcanzaron su punto mayor, aprovechando a millones de IP residenciales secuestradas para atacar cuentas de nubes”, dijo Akselevich.
El tamaño y la variedad de estos intentos de ataque se evidencia por la aparición de clientes HTTP como Axios, Go Resty, Node Retch y Python Solicitaciones, con aquellos que combinan precisión con técnicas AITM que logran una tasa de compromiso más ingreso.
Axios, por punto de prueba, está diseñado para Node.js y navegadores y se pueden combinar con plataformas AITM como EvilGinX para habilitar el robo de credenciales y códigos de autenticación multifactor (MFA).
Asimismo se ha observado que los actores de la amenaza establecen nuevas reglas del casillero para ocultar la evidencia de actividades maliciosas, robar datos confidenciales e incluso registrar una nueva aplicación OAuth con ámbitos de permiso excesivos para establecer un paso remoto persistente al entorno comprometido.
Se dice que la campaña de Axios ha señalado principalmente objetivos de suspensión valencia como ejecutivos, oficiales financieros, gerentes de cuentas y personal activo en el transporte, construcción, finanzas, TI y verticales de atención médica.
Se ha evaluado que más del 51% de las organizaciones específicas se ven afectadas con éxito entre junio y noviembre de 2024, comprometiendo el 43% de las cuentas de heredero específicas.
La compañía de seguridad cibernética dijo que todavía detectó una campaña de pulverización de contraseñas a gran escalera utilizando clientes de nodo Fetch and Go Resty, registrando no menos de 13 millones de intentos de inicio de sesión desde el 9 de junio de 2024, con un promedio de más de 66,000 intentos maliciosos por día. Sin confiscación, la tasa de éxito se mantuvo depreciación, afectando solo al 2% de las entidades dirigidas.
Hasta la data, se han identificado más de 178,000 cuentas de usuarios específicas en 3.000 organizaciones, la mayoría de las cuales pertenecen al sector educativo, particularmente las cuentas de los usuarios de los estudiantes que probablemente estén menos protegidos y puedan ser armados para otras campañas o venderse a diferentes actores de amenazas.
“Las herramientas de los actores de amenaza para los ataques de ATO han evolucionado enormemente, con varias herramientas de clientes HTTP utilizadas para explotar las API y realizar solicitudes HTTP”, dijo Akselevich. “Estas herramientas ofrecen ventajas distintas, haciendo que los ataques sean más eficientes”.
“Dada esta tendencia, es probable que los atacantes continúen cambiando entre las herramientas del cliente HTTP, adaptando estrategias para utilizar las nuevas tecnologías y evitar la detección, lo que refleja un patrón más amplio de crecimiento constante para mejorar su efectividad y minimizar la exposición”.
