Исследование компании Proofpoint показало, что большинство атак на среду Microsoft 365, основанных на использовании HTTP-клиентов, осуществляются методами грубой силы с низкими показателями успеха. Однако недавнее исследование выявило кампанию с использованием уникального HTTP-клиента Axios, которая имела высокий процент успеха и компрометировала целевые учетные записи пользователей.
Описание
Proofpoint обратил внимание на растущую тенденцию в использовании легитимных HTTP-клиентов для атак на среду Microsoft 365. Злоумышленники используют различные инструменты, такие как эмуляция HTTP-запросов XMLHttpRequest и Node.js, для взлома среды Microsoft 365. Эти инструменты все чаще используются в атаках типа Adversary-in-the-Middle (AitM) и методах грубой силы, что приводит к многочисленным инцидентам захвата учетных записей.
В 2018 году исследователи Proofpoint обнаружили широкомасштабную вредоносную кампанию, которая использовала клиент OkHttp для атак на среду Microsoft 365. Как выяснилось, злоумышленники использовали методы перечисления пользователей для выявления действительных адресов электронной почты и затем атаковали учетные записи. Эта кампания была лишь начальным этапом сложной цепочки атак.
С 2018 года HTTP-клиенты продолжают активно использоваться в атаках ATO. В 2024 году около 78% организаций, использующих Microsoft 365, столкнулись хотя бы с одной попыткой ATO с использованием HTTP-клиента. В этом же году было замечено появление новых HTTP-клиентов, таких как "python-request", которые были интегрированы в цепочки атак грубой силы. В то же время была обнаружена кампания с использованием HTTP-клиента Axios, которая позволяла успешно компрометировать учетные записи пользователей.
Axios, основанный на обещаниях HTTP-клиент для Node.js и браузеров, используется злоумышленниками для кражи учетных данных и токенов MFA. После этого украденные данные используются для компрометации учетных записей пользователей через инструмент HTTP-клиента Axios. Кампания с использованием Axios показала высокий процент успешности, что позволяло злоумышленникам обойти многофакторную аутентификацию и другие меры безопасности.
Таким образом, использование HTTP-клиентов для атак на среду Microsoft 365 является распространенным явлением. Злоумышленники все чаще используют эти инструменты для перехвата учетных данных пользователей. Особенно эффективной оказалась кампания, использующая HTTP-клиент Axios, которая успешно проводила атаки на учетные записи пользователей. Организации должны быть бдительны и принимать дополнительные меры безопасности, чтобы защитить себя от таких атак.
HTTP-клиенты
| Индикатор | Тип | Описание |
| okhttp/3.2.0 | User agent | Версия HTTP-клиента, используемая для атак с перечислением пользователей |
| okhttp/3.14.7 | User agent | Версия клиента HTTP, используемая для атак с перечислением пользователей |
| okhttp/3.14.9 | User agent | Версия клиента HTTP, используемая для атак по перечислению пользователей |
| okhttp/4.11.0 | User agent | Версия клиента HTTP, используемая для атак по перечислению пользователей |
| okhttp/4.12.0 | User agent | Версия клиента HTTP, используемая для атак с перечислением пользователей |
| okhttp/4.9.3 | User agent | Версия HTTP-клиента, используемая для атак с перечислением пользователей |
| Go-http-client/1.1 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| Go-http-client/2.0 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.20.0 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.22.0 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.25.1 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.26.0 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.27.1 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.28.0 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.28.1 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.30.0 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.31.0 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.32.2 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| python-requests/2.32.3 | User agent | HTTP-клиент, используемый для вариантов атак грубой силы |
| axios/0.21.1 | User agent | Версия HTTP-клиента, используемая для атак AiTM |
| axios/0.21.4 | User agent | Версия HTTP-клиента, используемая для атак AiTM |
| axios/1.4.0 | User agent | Версия HTTP-клиента, используемая для атак AiTM |
| axios/1.6.5 | User agent | Версия HTTP-клиента, используемая для атак AiTM |
| axios/1.6.8 | User agent | Версия HTTP-клиента, используемая для атак AiTM |
| axios/1.7.2 | User agent | Версия клиента HTTP, используемая для атак AiTM |
| axios/1.7.3 | User agent | Версия клиента HTTP, используемая для атак AiTM |
| axios/1.7.4 | User agent | Версия клиента HTTP, используемая для атак AiTM |
| axios/1.7.5 | User agent | Версия HTTP-клиента, используемая для атак AiTM |
| node-fetch | User agent | HTTP-клиент, используемый для атак с распылением паролей |
| node-fetch/1.0 (+https://github.com/bitinn/node-fetch) | User agent | HTTP-клиент, используемый для атак с распылением паролей |
| go-resty/2.14.0 (https://github.com/go-resty/resty) | User agent | HTTP-клиент, используемый для атак с распылением паролей |
Indicators of Compromise
URLs
- https://c.65a9b4549d87a.digital/auth
- https://nc.667af91ca5068.digital/auth
- https://www.https-65a916cbc80e5.org/auth
