في ظل التقدم السريع في تقنيات الهجمات السيبرانية، تتزايد محاولات الاستيلاء على حسابات المستخدمين في بيئات مايكروسوفت 365 باستخدام أدوات HTTP المتاحة بشكل شرعي. وقد أشارت شركة “بروفبوينت” المتخصصة في أمن المعلومات إلى رصد حملات تستخدم أدوات مثل (Axios) و(Node Fetch) لإرسال واستقبال طلبات HTTP من خوادم الويب بهدف تنفيذ هجمات الاستيلاء على الحسابات (ATO).

تحليل وتوسع في الظاهرة

تعتبر أدوات HTTP جزءًا من المنظومة التقنية التي يعتمد عليها المهاجمون السيبرانيون في تنفيذ الهجمات من نوع (Adversary-in-the-Middle) و(Brute Force)، حيث يتم استغلال هذه الأدوات المتوفرة على منصات مثل (GitHub) بشكل متزايد. يعود ظهور هذه الأدوات في الهجمات إلى فبراير 2018، مع استخدام متكرر لنسخ من عملاء (OkHttp) لاستهداف بيئات مايكروسوفت 365 حتى أوائل عام 2024.

بحلول مارس 2024، لاحظت “بروفبوينت” ارتفاعًا ملحوظًا في استخدام مجموعة متنوعة من عملاء HTTP، حيث شهدت 78% من مستأجري مايكروسوفت 365 هجومًا واحدًا على الأقل بحلول النصف الثاني من العام الماضي. وبلغت هذه الهجمات ذروتها في مايو 2024، حيث استغلت ملايين من عناوين IP السكنية المختطفة لاستهداف الحسابات السحابية.

تأثير الهجمات وأبعادها الأمنية

تشير البيانات إلى أن الهجمات باستخدام أدوات مثل (Axios) و(Go Resty) و(Node Fetch) و(Python Requests) كانت ذات دقة عالية في الاستهداف عند دمجها مع تقنيات (AitM)، مما أدى إلى معدل اختراق أعلى. تم تصميم (Axios) للعمل مع (Node.js) والمتصفحات ويمكن دمجه مع منصات مثل (Evilginx) لتمكين سرقة بيانات الاعتماد ورموز المصادقة متعددة العوامل (MFA).

لاحظ المهاجمون أيضًا إعداد قواعد صندوق بريد جديدة لإخفاء الأنشطة الخبيثة، وسرقة البيانات الحساسة، وتسجيل تطبيق OAuth جديد بأذونات واسعة النطاق لتحقيق وصول دائم عن بعد إلى البيئة المخترقة.

تأثير الهجمات على القطاعات المختلفة

استهدفت حملة (Axios) بشكل رئيسي الأهداف ذات القيم العالية مثل التنفيذيين والمسؤولين الماليين ومديري الحسابات والموظفين التشغيليين عبر قطاعات النقل والبناء والمالية وتكنولوجيا المعلومات والرعاية الصحية.

وقد تأثرت أكثر من 51% من المنظمات المستهدفة بين يونيو ونوفمبر 2024، حيث تم اختراق 43% من حسابات المستخدمين المستهدفة.

كما كشفت “بروفبوينت” عن حملة واسعة النطاق لرش كلمات المرور باستخدام عملاء (Node Fetch) و(Go Resty)، حيث سجلت ما لا يقل عن 13 مليون محاولة تسجيل دخول منذ 9 يونيو 2024، بمعدل يتجاوز 66,000 محاولة ضارة يوميًا. ومع ذلك، كان معدل النجاح منخفضًا، حيث أثر فقط على 2% من الكيانات المستهدفة.

تم تحديد أكثر من 178,000 حساب مستخدم مستهدف عبر 3,000 منظمة، والتي ينتمي معظمها إلى قطاع التعليم، خاصة حسابات الطلاب التي من المرجح أن تكون أقل حماية ويمكن استخدامها في حملات أخرى أو بيعها لجهات تهديد مختلفة.

رؤى الخبراء والتوجهات المستقبلية

أكدت الباحثة الأمنية آنا أكسيليفيتش أن أدوات المهاجمين لتنفيذ هجمات الاستيلاء على الحسابات (ATO) قد تطورت بشكل كبير، حيث يتم استخدام أدوات HTTP المختلفة لاستغلال (APIs) وإجراء طلبات HTTP، مما يوفر مزايا فريدة تجعل الهجمات أكثر كفاءة.

مع هذا الاتجاه، من المرجح أن يواصل المهاجمون التنقل بين أدوات HTTP، وتكييف الاستراتيجيات للاستفادة من التقنيات الجديدة والتهرب من الكشف، مما يعكس نمطًا أوسع من التطور المستمر لتعزيز فعاليتهم وتقليل تعرضهم.

وجدت هذه المقالة مثيرة للاهتمام؟ تابعونا على X (تويتر) وفيسبوك لقراءة المزيد من المحتويات الحصرية التي ننشرها.