黑客在 1300 万次密码喷洒攻击中使用 Go Resty 和 Node Fetch
HackerNews 编译,转载请注明出处: 网络犯罪分子正越来越多地利用合法的HTTP客户端工具,对Microsoft 365环境发动账户接管(ATO)攻击。 企业安全公司Proofpoint表示,其观察到有黑客利用HTTP客户端Axios和Node Fetch发送HTTP请求并从Web服务器接收HTTP响应,以实施ATO攻击。 安全研究员Anna Akselevich称:“这些工具最初源自GitHub等公共存储库,如今却越来越多地被用于中间人(AitM)攻击和暴力破解等技术手段中,导致大量账户被接管。” 自2018年2月以来,利用HTTP客户端工具进行暴力破解攻击的现象一直备受关注,随后的迭代更是采用OkHttp客户端的各种变体来攻击Microsoft 365环境,这种情况一直持续到2024年初。 但Proofpoint指出,到2024年3月,各种HTTP客户端开始受到追捧,攻击规模达到新高。截至去年下半年,78%的Microsoft 365租户至少遭受过一次ATO攻击。 Akselevich说:“2024年5月,这些攻击达到高峰,利用数百万个被劫持的家庭IP地址来攻击云账户。” Axios、Go Resty、Node Fetch和Python Requests等HTTP客户端的出现,证明了这些攻击尝试的数量和多样性。其中,将精确瞄准与AitM技术相结合的攻击手段,取得了更高的成功率。 Proofpoint表示,Axios是为Node.js和浏览器设计的,可以与Evilginx等AitM平台配合使用,以窃取凭据和多因素认证(MFA)代码。 此外,还观察到威胁行为者设置了新的邮箱规则以掩盖恶意活动证据、窃取敏感数据,甚至注册了权限范围过大的新OAuth应用程序,以建立对受损环境的持久远程访问。 据悉,Axios攻击活动主要针对交通运输、建筑、金融、信息技术和医疗保健等行业的高价值目标,如高管、财务官、账户经理和运营人员。 2024年6月至11月期间,超过51%的目标组织被评估为已成功受到攻击,43%的目标用户账户遭到入侵。 这家网络安全公司还检测到一起大规模密码喷洒攻击活动,该活动使用Node Fetch和Go Resty客户端,自2024年6月9日以来记录了不少于1300万次的登录尝试,平均每天超过6.6万次恶意尝试。然而,成功率仍然较低,仅影响了2%的目标实体。 迄今为止,已确定3000个组织中的超过17.8万个目标用户账户遭到攻击,其中大多数属于教育领域,特别是学生用户账户,这些账户可能保护不足,可被用于其他攻击活动或被出售给不同的威胁行为者。 Akselevich表示:“威胁行为者用于ATO攻击的工具已大大发展,他们利用各种HTTP客户端工具来利用API和发送HTTP请求。这些工具具有独特优势,使攻击更加高效。” “鉴于这一趋势,攻击者可能会继续在不同HTTP客户端工具之间切换,调整策略以利用新技术并逃避检测,这反映出了他们为增强攻击效果和降低曝光度而不断进化的更广泛模式。” 消息来源:The Hacker News, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
DEV-0343 APT 瞄准美国和以色列的国防技术公司
微软威胁情报中心(MSTIC)和微软数字安全部门(DSU)的研究人员发现了一个恶意活动群体,跟踪为DEV-0343,它的目标是美国和以色列国防技术公司的Office 365租户。 攻击者针对目标组织发起了大规模的密码喷洒攻击,这一恶意活动于2021年7月首次被发现。 “DEV-0343是微软威胁情报中心(MSTIC)于2021年7月下旬首次观察并开始跟踪的一个新的活动群体。MSTIC观察到DEV-0343对250多家Office 365租户进行了大量的密码喷洒攻击,重点是美国和以色列的国防技术公司、波斯湾的入境港口,或在中东有业务存在的全球海运公司。”“虽然只有不到20家目标租户被成功攻击,但DEV-0343在继续改进他们的攻击技术。”微软发布的这篇帖子写道。 微软补充说,对于启用了多因素身份验证(MFA)的Office 365账户的密码喷洒攻击并未生效。 DEV-0343主要针对防务公司,这些公司支持美国、欧盟和以色列政府合作伙伴并产出军用雷达、无人机技术、卫星系统和应急响应通信系统。 微软研究人员表示,这一活动与德黑兰的利益一致,而且其ttp与另一个与伊朗有关的攻击者的类似。 “进一步的活动目标包括地理信息系统(GIS)、空间分析、波斯湾的区域入境港口以及几家专注于中东业务的海运和货物运输公司。”报告补充道。 研究人员推测,攻击者的目的是获取商业卫星图像和专有航运计划和日志,这些信息可以让伊朗政府补充其正在发展的卫星计划。 DEV-0343背后的威胁行动者利用一系列精心设计的Tor IP地址来混淆他们的基础设施。 “DEV-0343模拟火狐浏览器,使用托管在Tor代理网络上的IP进行大量的密码喷洒攻击。他们最活跃的时间是周日和周四,伊朗时间早上7:30到晚上8:30 (UTC 04:00:00和17:00:00),在伊朗时间早上7:30之前和晚上8:30之后活动显著减少。它们通常针对组织内的数十到数百个账户(取决于规模),并对每个账户进行数十到数千次的枚举。平均而言,针对每个组织的攻击使用了150到1000多个唯一的Tor代理IP地址。”报告继续说道。“DEV-0343执行者通常针对两个Exchange端点——Autodiscover和ActiveSync——作为他们使用的枚举/密码喷洒工具的功能。这方便了DEV-0343验证活跃账户和密码,并进一步完善他们的密码喷洒攻击行为。” 微软已经直接通知了那些被攻击的客户,并向他们提供了他们需要的信息来保护他们的账户。 微软建议企业在日志和网络活动中观察是否存在以下迹象,以确定他们的基础设施是否受到了威胁者的攻击: 大量来自Tor IP地址的密码攻击流量 在密码喷洒活动中模仿FireFox(最常见)或Chrome浏览器 Exchange ActiveSync(最常见)或自动发现端点的枚举 类似于’ o365spray ‘工具的枚举/密码喷洒工具的使用 使用自动发现来验证帐户和密码 观察到密码喷洒攻击通常在UTC 04:00:00和11:00:00之间达到高峰 消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接