ReliaQuest 公司的最新研究发现,在近期的钓鱼攻击活动中,威胁行为者正滥用 Axios 等 HTTP 客户端工具,并结合微软的 Direct Send 功能,构建 “高效攻击流水线”。
该网络安全公司在与《黑客新闻》(The Hacker News)分享的报告中指出:“2025 年 6 月至 8 月,Axios 用户代理的活动量激增 241%,远超其他所有被标记用户代理活动量的总和(增长 85%)。在此期间观察到的 32 个被标记用户代理中,Axios 占比达 24.44%。”
早在 2025 年 1 月,Proofpoint 公司就曾指出过 Axios 被滥用的情况 —— 当时有攻击活动利用 HTTP 客户端向 Web 服务器发送 HTTP 请求并接收响应,对 Microsoft 365 环境发起账户劫持(ATO)攻击。
ReliaQuest 向《黑客新闻》表示,目前尚无证据表明这些活动存在关联,但补充称,Axios 常与主流钓鱼工具包一同被利用。该公司进一步指出:“Axios 的实用性意味着,无论威胁行为者的技术水平或攻击动机如何,几乎所有类型的威胁行为者都肯定会采用这一工具。”
同样,研究人员还观察到,钓鱼攻击活动正越来越多地利用 Microsoft 365(M365)中的一项合法功能 ——Direct Send(直接发送),伪造可信用户身份并分发钓鱼邮件。
通过 Microsoft Direct Send 放大 Axios 的滥用效果,此类攻击旨在将 “可信交付方式” 武器化,确保钓鱼邮件能绕过安全网关,直接进入用户收件箱。事实上,近期将 Axios 与 Direct Send 结合的攻击成功率已达 70%,以 “无可比拟的效率” 远超未使用 Axios 的攻击活动。
ReliaQuest 观察到的这场攻击活动始于 2025 年 7 月,最初专门针对金融、医疗和制造业的高管及管理人员,随后扩大攻击范围,将所有用户均列为目标。
深入分析与后续建议
ReliaQuest 称这种攻击方式对攻击者而言是 “游戏规则改变者”,并指出该攻击活动不仅能更精准地绕过传统安全防御,还能让攻击者以 “前所未有的规模” 发起钓鱼攻击。
在这些攻击中,Axios 被用于拦截、修改和重放 HTTP 请求,从而实现实时捕获会话令牌或多因素认证(MFA)验证码,或利用 Azure 认证流程中的 SAS 令牌访问敏感资源。
“攻击者利用这一安全盲点绕过 MFA、劫持会话令牌,并自动化钓鱼流程,”ReliaQuest 表示,“Axios 提供的可定制性,让攻击者能调整攻击行为,进一步模仿合法业务流程。”
钓鱼邮件以 “薪酬相关” 为诱饵,诱骗收件人打开包含恶意二维码的 PDF 文档。用户扫描二维码后,会被引导至模仿微软 Outlook 的虚假登录页面,攻击者借此窃取账户凭证。为进一步规避防御,部分虚假页面托管在谷歌 Firebase 基础设施上 —— 利用这一应用开发平台的良好声誉隐藏恶意行为。
Axios 不仅降低了发起高级攻击的技术门槛,其在企业和开发者环境中的广泛应用,还让攻击者能将恶意流量与正常流量混为一谈,从而避开安全检测。
为降低此类威胁风险,建议企业采取以下措施:保障 Direct Send 功能安全,若无需使用则将其禁用;在邮件网关上配置适当的反伪造策略;培训员工识别钓鱼邮件;拦截可疑域名。
“Axios 填补了‘初始入侵’与‘全面渗透’之间的缺口,从而放大了钓鱼攻击的影响。它能操纵认证流程、重放 HTTP 请求,让攻击者以‘可规模化且精准’的方式将窃取的凭证武器化。”
“这使得 Axios 成为 Direct Send 钓鱼攻击成功率攀升的关键因素,也表明攻击者已超越传统钓鱼手段,开始利用认证系统和 API 发起攻击 —— 而传统防御措施对此类攻击难以应对。”
与此同时,Mimecast 公司披露了一场大规模凭证窃取攻击活动:攻击者伪装成 Expedia 合作伙伴中心(Expedia Partner Central)和 Cloudbeds 等可信酒店管理平台,向酒店行业从业者发送邮件(声称是客户预订确认或合作伙伴中心通知),以窃取账户凭证。
“该凭证窃取操作利用了酒店预订沟通的日常属性,”Mimecast 表示,“攻击邮件使用‘紧急、业务关键型’主题,旨在促使酒店管理人员和员工立即采取行动。”
此外,研究人员还发现了一场持续进行的攻击活动:攻击者利用名为 “Salty 2FA” 的新型 “钓鱼即服务”(PhaaS)工具,窃取 Microsoft 登录凭证并绕过 MFA—— 该工具可模拟六种不同的 MFA 验证方式,包括短信验证、认证应用、电话呼叫、推送通知、备用代码和硬件令牌。
该攻击链的显著特点是,利用 Aha [.] io 等服务搭建初始着陆页(伪装成 OneDrive 共享通知),欺骗邮件收件人点击虚假链接(跳转至凭证窃取页面);且在跳转前,会要求用户完成 Cloudflare Turnstile 验证 —— 以此过滤自动化安全工具和沙箱环境。
钓鱼页面还具备其他高级功能:地理围栏和 IP 过滤(屏蔽已知安全厂商 IP 段和云服务商流量)、禁用浏览器中启动开发者工具的快捷键、为每个受害者会话分配新子域名。这些技术的应用,最终目的是增加安全人员的分析难度。
这些发现表明,钓鱼攻击已发展为 “企业级操作”—— 攻击者采用高级规避策略、逼真的 MFA 模拟功能,同时利用可信平台、模仿企业门户,使得区分真实与欺诈行为的难度大幅增加。
“该钓鱼工具包具备动态品牌展示功能,以提升社会工程学攻击效果,”Ontinue 公司表示,“技术分析显示,恶意基础设施维护着一个‘企业主题数据库’,可根据受害者的邮箱域名自动定制虚假登录界面。”
“Salty 2FA 表明,网络犯罪分子如今在搭建攻击基础设施时,采用了与企业构建自身系统相同的系统化规划方法。尤其值得警惕的是,这些技术模糊了合法流量与恶意流量的界限。”
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
