Киберпреступники постоянно совершенствуют свои методы, и последние тенденции указывают на тревожную эволюцию в тактике атак на Microsoft 365. Теперь злоумышленники активно используют легитимные HTTP-клиенты, такие как Axios, Node Fetch и Go Resty, для проведения атак типа «подбор паролей» (password spraying) и захвата учетных записей (Account Takeover, ATO).
Атаки ATO стали настоящим бичом для пользователей Microsoft 365. Исследование, проведенное компанией Proofpoint, возглавляемой специалистом по кибербезопасности Анной Акселевич, показало, что во второй половине прошлого года 78% арендаторов Microsoft 365 хотя бы раз становились мишенью для атак ATO. Злоумышленники не гнушаются применять технику «злоумышленник посередине» (Adversary-in-the-Middle, AitM), используя такие платформы, как Evilginx, чтобы перехватывать учетные данные и коды многофакторной аутентификации (MFA).
Начиная с февраля 2018 года наблюдались грубые атаки методом перебора, использующие OkHttp. В начале 2024 года варианты OkHttp использовались для нацеливания на Microsoft 365. Уже в марте 2024 года произошло заметное расширение арсенала инструментов, используемых злоумышленниками, с увеличением использования более широкого спектра HTTP-клиентов. Пик атак пришелся на май 2024 года, когда злоумышленники использовали миллионы скомпрометированных домашних IP-адресов.
После успешного взлома учетной записи злоумышленники предпринимают ряд действий, направленных на закрепление и развитие своего успеха. Они настраивают правила для почтовых ящиков, крадут конфиденциальные данные, а также создают фиктивные OAuth-приложения для дальнейшей эксплуатации скомпрометированной учетной записи.
Статистика, собранная Proofpoint, демонстрирует масштаб и эффективность этих атак. Только с 9 июня 2024 года было зафиксировано более 13 миллионов попыток входа в систему с использованием Node Fetch и Go Resty. В среднем это составляет около 66 000 вредоносных попыток в день. Несмотря на огромный объем, процент успешных взломов в этой кампании составил около 2%. Однако, это привело к компрометации более 178 000 учетных записей пользователей, принадлежащих более чем 3000 организациям.
Отдельного внимания заслуживает кампания, использующая Axios, проводившаяся с июня по ноябрь 2024 года. Она оказалась успешной для злоумышленников в 51% случаев, приведя к компрометации 43% целевых учетных записей. Особую обеспокоенность вызывает тот факт, что определенные отрасли и роли становятся приоритетными целями для киберпреступников.
В частности, кампания с использованием Axios была нацелена на компании из сферы транспорта, строительства, финансов, информационных технологий и здравоохранения. Внутри этих организаций злоумышленники фокусировались на учетных записях руководителей, финансовых директоров, менеджеров по работе с клиентами и операционного персонала.
Образовательный сектор также находится под прицелом злоумышленников, причем особую уязвимость демонстрируют учетные записи студентов. Учитывая ограниченные ресурсы и часто недостаточную осведомленность в вопросах кибербезопасности, студенческие аккаунты становятся легкой добычей для хакеров.
Изображение носит иллюстративный характер
Атаки ATO стали настоящим бичом для пользователей Microsoft 365. Исследование, проведенное компанией Proofpoint, возглавляемой специалистом по кибербезопасности Анной Акселевич, показало, что во второй половине прошлого года 78% арендаторов Microsoft 365 хотя бы раз становились мишенью для атак ATO. Злоумышленники не гнушаются применять технику «злоумышленник посередине» (Adversary-in-the-Middle, AitM), используя такие платформы, как Evilginx, чтобы перехватывать учетные данные и коды многофакторной аутентификации (MFA).
Начиная с февраля 2018 года наблюдались грубые атаки методом перебора, использующие OkHttp. В начале 2024 года варианты OkHttp использовались для нацеливания на Microsoft 365. Уже в марте 2024 года произошло заметное расширение арсенала инструментов, используемых злоумышленниками, с увеличением использования более широкого спектра HTTP-клиентов. Пик атак пришелся на май 2024 года, когда злоумышленники использовали миллионы скомпрометированных домашних IP-адресов.
После успешного взлома учетной записи злоумышленники предпринимают ряд действий, направленных на закрепление и развитие своего успеха. Они настраивают правила для почтовых ящиков, крадут конфиденциальные данные, а также создают фиктивные OAuth-приложения для дальнейшей эксплуатации скомпрометированной учетной записи.
Статистика, собранная Proofpoint, демонстрирует масштаб и эффективность этих атак. Только с 9 июня 2024 года было зафиксировано более 13 миллионов попыток входа в систему с использованием Node Fetch и Go Resty. В среднем это составляет около 66 000 вредоносных попыток в день. Несмотря на огромный объем, процент успешных взломов в этой кампании составил около 2%. Однако, это привело к компрометации более 178 000 учетных записей пользователей, принадлежащих более чем 3000 организациям.
Отдельного внимания заслуживает кампания, использующая Axios, проводившаяся с июня по ноябрь 2024 года. Она оказалась успешной для злоумышленников в 51% случаев, приведя к компрометации 43% целевых учетных записей. Особую обеспокоенность вызывает тот факт, что определенные отрасли и роли становятся приоритетными целями для киберпреступников.
В частности, кампания с использованием Axios была нацелена на компании из сферы транспорта, строительства, финансов, информационных технологий и здравоохранения. Внутри этих организаций злоумышленники фокусировались на учетных записях руководителей, финансовых директоров, менеджеров по работе с клиентами и операционного персонала.
Образовательный сектор также находится под прицелом злоумышленников, причем особую уязвимость демонстрируют учетные записи студентов. Учитывая ограниченные ресурсы и часто недостаточную осведомленность в вопросах кибербезопасности, студенческие аккаунты становятся легкой добычей для хакеров.
