Serangan pengambilalihan akun (Account Takeover/ATO) pada lingkungan Microsoft 365 semakin canggih dengan penggunaan alat HTTP klien yang sah. Menurut perusahaan keamanan siber Proofpoint, mereka menemukan adanya kampanye yang memanfaatkan alat seperti Axios dan Node Fetch untuk mengirim serta menerima permintaan HTTP dari server web sebagai bagian dari serangan ATO.
Anna Akselevich, peneliti keamanan di Proofpoint, mengungkapkan bahwa alat-alat ini pada awalnya tersedia di repositori publik seperti GitHub. Namun, belakangan ini alat-alat tersebut kian sering digunakan dalam serangan seperti Adversary-in-the-Middle (AitM) serta teknik brute force, yang menyebabkan meningkatnya kasus pengambilalihan akun secara signifikan.
Tren penggunaan HTTP klien dalam serangan brute-force telah diamati sejak Februari 2018. Awalnya, varian dari klien OkHttp sering digunakan untuk menargetkan Microsoft 365 hingga awal 2024. Namun, mulai Maret 2024, Proofpoint mulai mendeteksi berbagai alat HTTP klien lain yang semakin populer, dengan skala serangan yang meningkat pesat. Hingga pertengahan 2024, sebanyak 78% penyewa (tenant) Microsoft 365 telah menjadi sasaran serangan ATO setidaknya satu kali.
Pada Mei 2024, serangan ini mencapai puncaknya dengan eksploitasi jutaan alamat IP residensial yang dibajak untuk menargetkan akun cloud. Menurut Akselevich, serangan ini menggunakan berbagai alat seperti Axios, Go Resty, Node Fetch, dan Python Requests. Teknik Adversary-in-the-Middle (AitM) semakin banyak digunakan untuk meningkatkan tingkat keberhasilan kompromi akun.
Axios, yang dirancang untuk lingkungan Node.js dan browser, sering dikombinasikan dengan platform AitM seperti Evilginx untuk mencuri kredensial serta kode autentikasi multi-faktor (MFA). Para peretas juga terpantau membuat aturan kotak masuk baru guna menyembunyikan jejak aktivitas jahat mereka, mencuri data sensitif, serta mendaftarkan aplikasi OAuth baru dengan izin berlebihan agar dapat mempertahankan akses jarak jauh secara permanen ke lingkungan yang telah dikompromikan.
Serangan berbasis Axios ini terutama menyasar individu dengan akses bernilai tinggi, seperti eksekutif, pejabat keuangan, manajer akun, serta staf operasional di sektor transportasi, konstruksi, keuangan, TI, dan kesehatan. Berdasarkan analisis Proofpoint, antara Juni hingga November 2024, sekitar 51% organisasi yang ditargetkan mengalami dampak serangan, dengan 43% akun pengguna yang disasar berhasil dikompromikan.
Selain itu, Proofpoint juga mendeteksi kampanye penyemprotan kata sandi (password spraying) berskala besar yang menggunakan Node Fetch dan Go Resty. Sejak 9 Juni 2024, tercatat lebih dari 13 juta upaya login berbahaya, dengan rata-rata 66.000 serangan per hari. Meski jumlah serangan sangat besar, tingkat keberhasilannya relatif rendah, hanya berdampak pada sekitar 2% dari entitas yang menjadi target.
Secara keseluruhan, lebih dari 178.000 akun pengguna di 3.000 organisasi telah diidentifikasi sebagai sasaran, dengan mayoritas berasal dari sektor pendidikan. Akun mahasiswa menjadi target utama karena cenderung memiliki perlindungan yang lebih lemah dan dapat disalahgunakan untuk serangan lain atau diperjualbelikan di pasar gelap.
Menurut Akselevich, alat yang digunakan oleh peretas dalam serangan ATO terus berkembang pesat. Mereka memanfaatkan berbagai HTTP klien untuk mengeksploitasi API dan melakukan permintaan HTTP dengan lebih efisien. Perubahan strategi ini mencerminkan pola evolusi berkelanjutan, di mana para pelaku ancaman terus beradaptasi dengan teknologi baru untuk menghindari deteksi dan meningkatkan efektivitas serangan mereka.
Sumber:
Sumber: