专门用来向网页伺服器发出请求并接收回应的HTTP用户端(HTTP cilent)应用程式及程式库,使用者可借此发出GET、POST、PUT等请求,与伺服器进行互动,然而这样的工具,攻击者将其用于网路犯罪的情况也越来越频繁。
资安业者Proofpoint发现,有人将这类工具用于挟持M365帐号,其中部分工具甚至能被用于对手中间人攻击(AiTM),绕过多因素验证的防护机制。
【攻击与威胁】
用于发送HTTP请求及接收回应的用户端(HTTP cilent)应用程式,例如:cURL、wget,以及程式库像是:Axios、Go Resty、Node-fetch、OkHttp,执行向网页伺服器发出请求并接收回应的工作,这类工具经常在开发及测试领域使用,但如今骇客也将其用于大规模攻击,引起研究人员提出警告。
资安业者Proofpoint指出,他们近期看到有人滥用合法的HTTP用户端工具,企图入侵Microsoft 365环境。值得留意的是,由于相关资源能从GitHub等公开的储存库取得,这种工具被用于暴力破解及对手中间人攻击(AiTM)的情况显著增加,导致帐号挟持(ATO)的资安事故不断发生。
这种利用合法HTTP用户端工具的攻击行动,最早可追溯到2018年2月,但去年1月Proofpoint威胁研究小组发现攻击手法开始出现变化,骇客改用OkHttp的变种犯案,接著在3月又使用更为广泛的HTTP用户端工具,相关攻击行动于5月达到高峰,攻击者利用数百万个遭到挟持的IP位址来攻击云端帐号。
资安业者Forcepoint揭露AsyncRAT最新一波攻击行动,攻击者利用TryCloudflare隧道与Python套件来散布恶意酬载,他们先是透过钓鱼邮件与受害者接触,一旦收信人点选信里的连结,就会触发一系列的攻击流程,从而在电脑植入AsyncRAT等多种恶意程式。
针对这起事故发生的过程,Forcepoint X-Labs威胁研究员Jyotika Singh指出,攻击是透过钓鱼邮件开始,而这些信件的共通点,就是含有连往Dropbox的连结,一旦收信人点选,电脑就会下载ZIP压缩档,其内容是网际网路捷径档(URL),假若开启,电脑就会下载Windows捷径档(LNK),从而执行JavaScript档案。
而这个JavaScript指令码,又会触发BAT批次档,然后下载另一个含有恶意内容的ZIP档,该压缩档内含Python指令码,会在受害电脑植入AsyncRAT。
其他攻击与威胁
◆◆
【漏洞与修补】
备份与资料保护软体厂商Veeam,于2月4日揭露影响6款备份软体的重大漏洞,并释出修补。
这个编号为CVE-2025-23114的漏洞,存在Veeam备份产品使用的Veeam Updater元件,攻击者可趁机透过中间人攻击的手法,以root权限在受影响伺服器上执行任意程式码,严重性等级达到9.0。
Veeam旗下使用Veeam Updater元件的产品,总共有6款备份软体,目前只有Veeam Backup for Salesforce的3.1版与后续版本,仍受此漏洞影响,解决漏洞的办法是将内含的Veeam Updater元件更新到7.9.0.1124版,用户只需透过控制台介面的Checking for Updates选项,让系统自动执行更新即可。