サイバー犯罪者が、Microsoft 365環境に対するアカウント乗っ取り(ATO)攻撃を実行するために、正規のHTTPクライアントツールを活用する事例が増加していることが確認されています。
Proofpointの最新の調査結果によると、2024年にはMicrosoft 365テナントの78%が、特定のHTTPクライアントを用いたATOの試行を少なくとも1回受けました。これは、直近6か月と比較してこの種の攻撃が7%増加したことを示しています。
HTTPベース攻撃の進化
Proofpointの研究者は、攻撃者が入手しやすいHTTPクライアントツールを悪用し、悪意ある活動の実行に転用する長期的な傾向を観測しています。これらのツールはもともとWeb開発や自動化のために設計されたものですが、現在ではブルートフォース攻撃や中間者攻撃(AiTM)手法に利用されています。
2018年には、攻撃者が一般的ではないOkHttpクライアントのバージョン(okhttp/3.2.0)を用い、約4年にわたる継続的なキャンペーンを展開しました。2021年までにこの手法は月間数万件規模の攻撃でピークに達した後、減少しました。2024年初頭以降は、python-requestやAxiosといった新しいHTTPクライアントがより目立つようになっています。
HTTPベースのセキュリティ脅威について詳しく読む: HTTP/S DDoS攻撃、3年間で487%急増
Axios HTTPクライアントの高い成功率
最近の攻撃手法の中でも特に効果的なものの一つが、Axios HTTPクライアントを用いる方法で、AiTM手法を組み合わせて多要素認証(MFA)を回避します。Axiosベースの攻撃の成功率は43%で、従来のブルートフォースの試行よりも大幅に高くなっています。
主な攻撃手順は次のとおりです:
- 認証情報の窃取 (メールフィッシングおよびリバースプロキシツールを介して)
- アカウント乗っ取り (盗まれた認証情報とMFAトークンを使用して)
- 侵害後の行動 (メールボックスルールの変更、データの持ち出し、永続的なアクセスのためのOAuthアプリケーション登録など)
Node Fetchと大規模ブルートフォース攻撃
別のキャンペーンでは、Node Fetchクライアントを用いてブルートフォースのパスワードスプレー攻撃を実施しています。2024年6月以降、この手法によるログイン試行は1300万回を超え、1日平均6万6000回に達しています。規模は大きいものの、成功率はわずか2%と低いままです。
攻撃者は主に教育分野の学生アカウントを標的としており、比較的弱いセキュリティを悪用しています。2024年半ば以降、3000を超える組織と17万8000のユーザーアカウントが標的にされています。
新たな傾向と将来の脅威
2024年8月、Proofpointの研究者は、Go言語ベースのHTTPクライアントであるGo Restyへの移行を検知しました。この手法は成功が限定的で、10月までに停止しましたが、サイバー犯罪者が継続的に適応していることを示しています。
HTTPクライアントは自動化と柔軟性を提供するため、攻撃者は効果を最大化し検知を回避するべく、戦術を進化させ続ける可能性が高いと考えられます。組織には、HTTPクライアントの活動監視を強化し、より強固な認証メカニズムを採用して、これらの脅威を軽減することが推奨されます。
翻訳元: https://www.infosecurity-magazine.com/news/attackers-increase-use-http/
