Hacker nutzen HTTP-Client-Tools zur Übernahme von Microsoft 365-Konten

Dienstag, 04.02.2025

Hacker setzen zunehmend HTTP-Client-Tools ein, um ausgeklügelte Angriffe auf Microsoft 365-Umgebungen zu starten.

Unglaubliche 78 % der Microsoft 365-Tenants wurden mindestens einmal Ziel solcher Angriffe, was die sich weiterentwickelnden Taktiken der Täter verdeutlicht.

HTTP-Client-Tools sind Softwareanwendungen oder Bibliotheken, die es Benutzern ermöglichen, HTTP-Anfragen zu senden und Antworten von Webservern zu erhalten.

Diese Tools ermöglichen die Anpassung von Anfragemethoden (z. B. GET, POST, PUT, DELETE), Headern und Nutzdaten, wodurch sie sowohl für legitime als auch für bösartige Zwecke eingesetzt werden können.

Im Februar 2018 identifizierten die Forscher von Proofpoint eine weit verbreitete Kampagne, die eine ungewöhnliche OkHttp-Client-Version ("okhttp/3.2.0") verwendet, um Microsoft 365-Umgebungen anzugreifen.

Die Forscher von Proofpoint stellten fest, dass sich diese Kampagne, die fast vier Jahre andauerte, auf hochrangige Ziele wie Führungskräfte und privilegierte Benutzer konzentrierte.
Die Angreifer nutzten Methoden der Benutzererfassung, um gültige E-Mail-Adressen zu identifizieren, bevor sie andere Bedrohungsvektoren wie Spear-Phishing und Passwort-Spraying einsetzten.
Seit 2018 sind HTTP-Clients nach wie vor ein beliebtes Mittel für ATO-Angriffe (Account Takeover). Anfang 2024 dominierten OkHttp-Varianten, doch ab März 2024 gewann eine breitere Palette von HTTP-Clients an Bedeutung.

Eine kürzlich durchgeführte Kampagne, bei der der HTTP-Client Axios zum Einsatz kam, erzielte eine hohe Erfolgsquote und kompromittierte 43 % der angegriffenen Benutzerkonten. Axios ermöglicht in Verbindung mit Adversary-in-the-Middle (AiTM)-Plattformen wie Evilginx den Diebstahl von Anmeldedaten, MFA-Token und Sitzungs-Token.

Angriffsweg

Phishing per E-Mail ermöglichen den Diebstahl von Anmeldeinformationen, indem sie Reverse-Proxy-Toolkits nutzen, die MFA-Token stehlen können. Dies wiederum erleichtert die Übernahme von Konten durch die Verwendung gestohlener Anmeldeinformationen mit Tools wie Axios, um Mailbox-Regeln anzugreifen, Daten zu exfiltrieren und OAuth-Anwendungen zu erstellen.
Sobald der Zugriff erfolgt ist, werden sensible Daten gestohlen, Zugriffsberechtigungen geändert und sichere Freigabelinks für den zukünftigen unbefugten Zugriff erstellt.

Zusätzlich zu Axios haben Angreifer ihren Ansatz durch den Einsatz anderer HTTP-Clients diversifiziert.

Node Fetch zum Beispiel, das den Übergang von nativem HTTP zur Fetch-API in Node.js vereinfacht, wurde zur Automatisierung von Angriffen in großem Umfang verwendet und protokollierte über 13 Millionen Anmeldeversuche mit durchschnittlich 66.000 Versuchen pro Tag, obwohl es keine Axios-ähnlichen Abfangfunktionen hat.

In ähnlicher Weise beobachtete Proofpoint im August 2024, dass Angreifer begannen, Go Resty - einen Go HTTP/REST-Client - für Brute-Force-Angriffe zu verwenden; ein Trend, der zwar im Oktober wieder aufhörte, aber die sich entwickelnde Natur der von den Bedrohungsakteuren verwendeten Tools verdeutlichte.

Um die Erkennung und die allgemeine Sicherheit zu verbessern, wird empfohlen, Benutzeragenten zu überwachen, indem beobachtete Daten mit zusätzlichen Indikatoren und Bedrohungsdaten kombiniert werden, um eine genauere Erkennung zu ermöglichen.

Darüber hinaus ist es von entscheidender Bedeutung, die Sicherheit durch die Implementierung einer Multi-Faktor-Authentifizierung (MFA) für alle Benutzer zu erhöhen. Regelmäßige Aktualisierungen der gesamten Software, einschließlich HTTP-Clients, tragen dazu bei, dass die Systeme vor den neuesten Schwachstellen geschützt bleiben.

Indikatoren für eine Kompromittierung

Zu den wichtigsten HTTP-Client-Versionen, die bei diesen Angriffen verwendet werden, gehören:

OkHttp: Versionen wie okhttp/3.14.7, okhttp/3.14.9, okhttp/4.11.0 und okhttp/4.12.0.
Python-Anfragen: Versionen wie python-requests/2.27.1 bis python-requests/2.32.3.
Axios: Versionen wie axios/0.21.1, axios/0.21.4, axios/1.4.0, und axios/1.7.5.
Node Fetch: Wird für Passwort-Spraying-Angriffe verwendet.
Go Resty: Version go-resty/2.14.0.

Artikel

windows 10 Cortana: Den digitalen Assistenten von Windows 10 deaktivieren

Cortana: Den digitalen Assistenten von Windows 10 deaktivieren.

windows 11 So installieren Sie Windows 11 auf einer virtuellen Maschine

Die Installation von Windows 11 auf Ihrem Alltags-PC ist für die meisten von uns nicht praktikabel.

windows 11 So deaktivieren Sie den Touchscreen in Windows 11

Die Touchscreen-Oberfläche in Windows 11 ist großartig, wenn Sie das Betriebssystem auf einem Tablet verwenden.

windows 11 Wie man Wifi-Passwörter in Windows 11 anzeigt

Möglicherweise ist Ihr Partner für die Technik in Ihrem Haus zuständig, und Sie kennen das WLAN-Passwort nicht einmal.

hardware Wi-Fi 6 vs. 5G: Unterschiede

Es gibt zwar einige Unterschiede zwischen Wi-Fi 6 und 5G, doch handelt es sich dabei größtenteils um Standardunterschiede.

windows 10 So können Sie Ihre Windows 10-Produktivität steigern

Wenn Sie täglich mit Windows arbeiten, lohnt es sich zeitsparenden Funktionen zu verinnerlichen.

windows 11 So behebt man den Fehler -normaliz.dll nicht gefunden- unter Windows 11

Der Fehler "normaliz.dll nicht gefunden" tritt auf, wenn die Unicode Normalization DLL-Datei entfernt oder beschädigt wurde.

windows 10 Anzahl der Remotedesktop-Verbindungen in Windows 10 erhöhen

General können Sie mit Windows 10 nur eine Remotedesktop-Verbindung auf einem Computer herstellen.

windows 11 So schaltet man den Transparenzeffekte in Windows 11 aus

Standardmäßig aktiviert Microsoft in Windows 11 Transparenzeffekte, die dazu führen, dass hinter Ordnern und einigen anderen Elementen eine unscharfe Version des Computerhintergrunds sichtbar ist.

windows 11 Deaktivieren der Einrastfunktion in Windows 11

Die "Einrastfunktion" ist eine großartige Barrierefreiheitsfunktion für Windows-Computer, mit der Sie Tasten unabhängig voneinander nacheinander drücken können, um Tastenkombinationen zu öffnen, statt diese Tasten alle gleichzeitig zu drücken.

windows all Windows 11 SE: Warum es sowohl mehr als auch weniger eingeschränkt ist als Windows 10 S

Bei Microsoft macht man sich schon lange Gedanken darüber, wie man PCs für den Bildungsbereich maßschneidern kann.

windows 11 So erstellen Sie einen Windows 11 Wi-Fi 6-Hotspot

Die Einrichtung eines Wi-Fi 6-Hotspots unter Windows 11 ermöglicht es Ihnen, Ihre Internetverbindung mit anderen Geräten zu teilen, die die neueste Wi-Fi-Technologie nutzen.

windows 10 Welche Windows 10-Dienste können sicher deaktiviert werden?

Wenn Ihnen die Art und Weise, wie Windows standardmäßig arbeitet, nicht gefällt, haben Sie viele Möglichkeiten, Windows 10 anzupassen.

hardware SSD-Festplatten

Schneller starten, arbeiten und speichern - dies alles ermöglicht die SSD-Technologie.

windows 11 So entfernen Sie ein Microsoft-Konto aus Windows 11

Microsoft setzt stark darauf, dass sich Benutzer bei einem Cloud-Konto anmelden und verschiedene Dienste wie OneDrive im Hintergrund laufen.

windows 10 Windows 10: Neustart von Explorer.exe zur Behebung eines eingefrorenen Desktops oder Taskleiste

Ist Ihr Desktop oder Ihre Taskleiste eingefroren oder ist die Taskleiste verschwunden?

windows 10 Windows 10: Anmeldeoptionen

Dank der technischen Neuerungen in Windows 10 können Sie sich mit einem Fingerabdruck-Sensor oder mit einer Gesichtserkennung anmelden.

windows 10 Taskplaner in Windows 10 verwenden

Der Taskplaner in Windows 10 ist in vielerlei Hinsicht sehr ähnlich zu dem in älteren Versionen des Betriebssystems.

windows 10 So entfernen Sie OneDrive aus dem Datei-Explorer in Windows 10

In Windows 10 kann OneDrive nicht über normale Einstellungen oder Eigenschaftseinstellungen entfernt werden.

Lexikon

0-9	A	B	C	D	E	F
G	H	I	J	K	L	M
N	O	P	Q	R	S	T
U	V	W	X	Y	Z	#