Tội phạm mạng đang khai thác các HTTP client hợp pháp như Axios và Node Fetch để thực hiện các cuộc tấn công Account Takeover (ATO) nhắm vào Microsoft 365. Những công cụ này, ban đầu có sẵn trên GitHub, đang bị lợi dụng trong các cuộc tấn công Adversary-in-the-Middle (AitM) và brute force nhằm chiếm đoạt tài khoản.
Từ tháng 3/2024, Proofpoint ghi nhận sự gia tăng mạnh mẽ của các cuộc tấn công, với 78% Microsoft 365 tenants bị nhắm mục tiêu. Đến tháng 5/2024, các cuộc tấn công đạt đỉnh, sử dụng hàng triệu IP dân cư bị chiếm dụng để xâm nhập tài khoản cloud. Axios, Go Resty, Node Fetch và Python Requests là những công cụ phổ biến, đặc biệt khi kết hợp với kỹ thuật AitM để đánh cắp thông tin đăng nhập và bypass multi-factor authentication (MFA).
Tội phạm mạng còn thiết lập quy tắc hộp thư để che giấu hoạt động, đánh cắp dữ liệu và đăng ký ứng dụng OAuth mới nhằm duy trì quyền truy cập từ xa. Chiến dịch này chủ yếu nhắm vào giám đốc điều hành, nhân viên tài chính, quản lý tài khoản và nhân viên vận hành trong các lĩnh vực vận tải, xây dựng, tài chính, công nghệ và y tế. Từ tháng 6 đến tháng 11/2024, hơn 51% tổ chức bị ảnh hưởng, với 43% tài khoản người dùng bị xâm phạm.
Một chiến dịch password spraying quy mô lớn đã thực hiện hơn 13 triệu lượt đăng nhập trái phép kể từ ngày 9/6/2024, trung bình lên đến 66.000 cuộc tấn công mỗi ngày. Hơn 178.000 tài khoản tại 3.000 tổ chức đã bị nhắm đến, chủ yếu là tài khoản sinh viên trong lĩnh vực giáo dục – vốn ít được bảo vệ và có thể bị lợi dụng cho các cuộc tấn công khác.
Các HTTP client đang trở thành công cụ tấn công hiệu quả nhờ khả năng khai thác API và gửi HTTP request với độ chính xác cao. Tội phạm mạng liên tục thay đổi chiến lược, tận dụng công nghệ mới để né tránh phát hiện và tăng hiệu quả tấn công, khiến ATO trở thành mối đe dọa ngày càng nghiêm trọng.
