Cyberkriminelle Nutzen HTTP-Client-Tools Zur Übernahme Von Microsoft 365-Konten

In einer alarmierenden Entwicklung haben Cyberkriminelle begonnen, HTTP-Client-Tools auszunutzen, um Microsoft 365-Konten zu übernehmen. Diese Angriffe, die sich gegen eine Vielzahl von Benutzern richten, zeigen die zunehmende Raffinesse der Bedrohungsakteure und die Notwendigkeit für Unternehmen, ihre Sicherheitsmaßnahmen zu verstärken.

Wichtige Erkenntnisse

• 78 % der Microsoft 365-Mieter wurden mindestens einmal Ziel solcher Angriffe.
• HTTP-Client-Tools wie Axios und Node Fetch werden zunehmend für Kontoübernahmen verwendet.
• Angriffe nutzen Techniken wie Adversary-in-the-Middle (AiTM) und Brute-Force-Methoden.

Die Bedrohung Durch HTTP-Client-Tools

Cyberkriminelle haben HTTP-Client-Tools, die ursprünglich für legitime Zwecke entwickelt wurden, umfunktioniert, um groß angelegte Kontoübernahme-Angriffe (ATO) durchzuführen. Diese Tools ermöglichen es Angreifern, HTTP-Anfragen zu senden und Antworten von Webservern zu empfangen, was ihnen eine hohe Flexibilität bei der Durchführung ihrer Angriffe verleiht.

Ein Beispiel für einen solchen Angriff ist die Verwendung des Axios-HTTP-Clients, der in Kombination mit Reverse-Proxy-Plattformen wie Evilginx eingesetzt wird. Diese Angriffe haben eine durchschnittliche Erfolgsquote von 38 % erreicht, indem sie mehrstufige Phishing-E-Mails nutzen, um Anmeldeinformationen und MFA-Tokens zu stehlen.

Angriffsvektoren

Die Angriffe folgen typischerweise einem bestimmten Muster:

1. Phishing-E-Mails: Angreifer senden E-Mails, die so aussehen, als kämen sie von legitimen Quellen, um Benutzer zur Eingabe ihrer Anmeldeinformationen zu verleiten.
2. Token-Diebstahl: Nach dem Diebstahl der Anmeldeinformationen nutzen die Angreifer HTTP-Client-Tools, um gezielt auf Microsoft 365-Anmeldeportale zuzugreifen.
3. Datenexfiltration: Nach dem Zugriff auf die Konten stehlen die Angreifer sensible Daten und ändern die Berechtigungen, um zukünftigen Zugriff zu ermöglichen.

Die Rolle Von Node Fetch

Neben Axios verwenden Angreifer auch Node Fetch, ein HTTP-Client für Node.js, um Brute-Force-Angriffe durchzuführen. Diese Angriffe sind weniger zielgerichtet, aber aufgrund ihrer hohen Anzahl gefährlich. Im Jahr 2024 wurden über 13 Millionen Anmeldeversuche dokumentiert, wobei täglich durchschnittlich 66.000 unbefugte Versuche stattfanden.

Empfehlungen Für Unternehmen

Um sich gegen diese Bedrohungen zu schützen, sollten Unternehmen folgende Maßnahmen ergreifen:

• Implementierung von Mehrfaktorauthentifizierung (MFA): Dies ist entscheidend, um unbefugten Zugriff zu verhindern.
• Überwachung von Benutzeragenten: Anomalien in den Benutzeragenten können auf verdächtige Aktivitäten hinweisen.
• Regelmäßige Software-Updates: Halten Sie alle Software, einschließlich HTTP-Clients, auf dem neuesten Stand, um Sicherheitslücken zu schließen.

Fazit

Die zunehmende Nutzung von HTTP-Client-Tools durch Cyberkriminelle zeigt die Notwendigkeit für Unternehmen, ihre Sicherheitsstrategien zu überdenken und proaktive Maßnahmen zu ergreifen. Die Bedrohung durch Kontoübernahmen ist real und erfordert sofortige Aufmerksamkeit, um die Integrität und Sicherheit von Microsoft 365-Umgebungen zu gewährleisten.

Quellen

• Hackers Exploit OAuth 2.0 Code Flow Using AiTM Attack on Microsoft Azure AD, GBHackers News.
• Hackers Using HTTP Client Tools To Takeover Microsoft 365 Accounts, CybersecurityNews.
• Cybercriminals Exploiting HTTP Client Tools to Hijack Microsoft 365 Accounts, GBHackers News.
• How hackers are using this Microsoft 365 feature to target PayPal accounts, Moneycontrol.