HTTP-cliënten, tools die worden gebruikt om verzoeken op het web te versturen en te ontvangen, zijn een van de belangrijkste wapens geworden voor cybercriminelen om accounts te veroveren. Een recent rapport van Proofpoint onthult dat in de tweede helft van 2024, 78% van de gebruikers van Microsoft 365 te maken kreeg met ten minste één poging tot accountovername via deze applicaties.
Tools binnen handbereik van aanvallers
HTTP-cliënten, zoals OkHttp, Axios of Node Fetch, worden veel gebruikt door ontwikkelaars om tests uit te voeren en verbindingen met servers te beheren. Echter, deze tools zijn ook door kwaadwillende actoren misbruikt, die ze hergebruiken vanuit openbare repositories om brute-force-aanvallen en aanvallen van de tegenstander in het midden (AiTM) uit te voeren.
Sinds 2018 hebben deze methoden zich ontwikkeld, en in 2024 is er een toename in de diversiteit van gebruikte HTTP-cliënten vastgesteld. Hoewel in de eerste maanden van het jaar de varianten van OkHttp dominant waren, werd in maart een groeiend gebruik van alternatieven zoals Axios en Node Fetch waargenomen, wat hoge-snelheidsaanvallen tegen cloud-accounts vergemakkelijkte.
Geavanceerde aanvallen met een hoog slagingspercentage
Hoewel de meeste pogingen om accounts te veroveren op basis van HTTP-cliënten brute-force-aanvallen zijn met lage slagingspercentages, heeft Proofpoint zeer effectieve campagnes geïdentificeerd. Een relevant geval is de cliënt Axios, die in combinatie met AiTM-technieken een maandelijkse slagingspercentage van 38% heeft bereikt. Dit hulpmiddel kan verkeer onderscheppen, transformeren en annuleren, waardoor de diefstal van inloggegevens en toegangstokens wordt vergemakkelijkt.
De belangrijkste doelwitten van deze aanvallen zijn onder andere executives, financiële verantwoordelijken en operationeel personeel in strategische sectoren zoals transport, bouw, financiën, informatica en gezondheidszorg. Volgens het rapport werd tussen juni en november 2024 meer dan 51% van de doelorganisaties aangevallen, met 43% van de accounts die gecompromitteerd zijn.
Evolutie en trends in aanvallen met HTTP-cliënten
In de afgelopen maanden hebben cybercriminelen hun tactieken geperfectioneerd door gedistribueerde infrastructuur en gekaapte IP-netwerken te integreren om hun blootstelling te verminderen en detectie te vermijden. Er is een massale brute-force-campagne waargenomen waarbij Node Fetch werd gebruikt, gekenmerkt door hoge snelheid en verspreiding van toegangspogingen. Sinds juni 2024 zijn er meer dan 13 miljoen frauduleuze inlogpogingen geregistreerd, met een gemiddelde van 66.000 dagelijkse pogingen.
Bovendien ontstond in augustus 2024 een variant op basis van Go Resty, een HTTP-cliënte voor Go die nog diversifiërendere aanvallen mogelijk maakte. Deze tactiek nam echter af in oktober, terwijl de aanvallen met Node Fetch actief bleven.
Uitdagingen en mitigatiemaatregelen
Gezien dit landschap waarschuwen experts in cybersecurityCybersecurity-oplossingen zijn essentieel in het digitale tijdperk. dat aanvallers hun strategieën en tools zullen blijven aanpassen om de effectiviteit van hun aanvallen te verhogen en verdedigingsmechanismen te omzeilen. De aanbeveling van de onderzoekers van Proofpoint is om maatregelen voor multi-factor authenticatie te versterken, verdachte toegangs patronen te monitoren en het gebruik van HTTP-cliënten in gevoelige omgevingen te blokkeren.
De evolutie van aanvallen met HTTP-cliënten toont aan dat cybercriminelen blijven innoveren in hun methoden. Met een combinatie van legitieme tools en geavanceerde strategieën moeten organisaties alert blijven om hun systemen en gegevens te beschermen tegen dit soort harde en voortdurend evoluerende bedreigingen.
via: ProofPoint