Recherches Proofpoint : les outils clients HTTP largement exploités pour la compromission de compte

Observée depuis 2018, les récentes recherches de Proofpoint révèlent une tendance croissante à l'utilisation de ces outils en 2024, bien souvent accessible sur des référentiels publics comme GitHub, pour compromettre les environnements Microsoft 365. Des attaques du types « Adversary-in-the-Middle » (AitM) et des techniques de force brute ont notamment été observées.

Évolution des attaques ATO utilisant des clients HTTP par volume de comptes utilisateurs affectés (JAN - DÉC 2024).

« Depuis 2018, les clients HTTP restent largement utilisés dans les attaques ATO. Ces attaques ont connu une augmentation en mars 2024, alors qu'une gamme plus large de clients HTTP gagnait en popularité. Pendant la seconde moitié de 2024, 78 % des organisations ont subi au moins une tentative d'ATO impliquant un client HTTP, soit une augmentation de 7 % par rapport aux six mois précédents. Au cours de cette période, de nouveaux clients HTTP ont été intégrés dans les chaînes d'attaques par force brute, augmentant considérablement le volume et la diversité des menaces, » expliquent les chercheurs de Proofpoint.

Les principales conclusions de l'analyse sont les suivantes :
• 78 % des clients Microsoft 365 ont été ciblés par des tentatives d'ATO utilisant des clients HTTP.
• La plupart des attaques cloud basées sur HTTP reposent sur la force brute, ce qui, dans l'ensemble, entraîne des taux de réussite relativement faibles.
• Les chercheurs ont tout de même identifié une campagne de force brute utilisant le client Axios dont le taux de réussite était significativement plus élevé (43 %) en raison de sa capacité à contourner l'authentification multi-factorielle (AMF).
• Une autre campagne à grande échelle a également été observée, celle-ci utilisait le module Node Fetch et consistait à de la pulvérisation de mots de passe par force brute, soulignant la diversité des modes opératoires de cette tendance.