行業新聞與部落格

安全專家警告稱，濫用 Axios 使用者代理和微軟直接傳送功能的自動網路釣魚活動將大幅增加。

ReliaQuest 今天在一份新報告中聲稱，它觀察到 2025 年 6 月至 8 月期間使用 Axios 的網路釣魚活動增加了 241%。Axios 佔該期間分析的所有惡意使用者代理活動的近四分之一（24%），這使其比 ReliaQuest 追蹤的任何其他代理都常見 10 倍。

該威脅情報供應商表示，基於 Axios 的攻擊成功率為 58%，而沒有使用者代理的攻擊成功率僅為 9%。

該活動最初針對的是金融、醫療保健和製造業等領域的高管和經理，現已擴大到普通網際網路使用者。

報告稱，Axios 是一個輕量級的、基於承諾的 HTTP 客戶端，它使攻擊者能夠輕鬆擴充其網路釣魚活動。

儘管是一種合法工具，但該代理能夠輕鬆攔截、修改和重放 HTTP 請求，並無縫融入工作流程，這使得它特別受重視。

ReliaQuest 表示：“其基於承諾的 API 和中介軟體攔截器使攻擊者能夠輕鬆記錄、調整、重放和排除故障。這使得繞過多因素身份驗證 (MFA)、劫持會話令牌以及針對每個目標定製攻擊變得更加容易。”

在我們發現的 Axios 活動中，二維碼和釣魚網域名稱設定了陷阱，然後 Axios 讓攻擊者利用其捕獲的資料。在我們觀察到的事件中，Axios 在與 API 互動和繞過 MFA 保護方面發揮了關鍵作用。

報告指出，其他使用者代理需要威脅行為者編寫複雜的自定義指令碼或依賴更明顯可疑的工具，而 Axios 結合了靈活性和易於自動化的特點，並且能夠透過大多數使用者代理分析和基於信譽的過濾檢查。

直接傳送會放大攻擊

ReliaQuest 指出，在最近的活動中，將 Axios 與 Microsoft 的 Direct Send 配對的攻擊取得了更高的成功率（70％）。

這是因為直接傳送通常預設受到安全工具的信任。

報告解釋說：“Direct Send 和 Axios 共同構成了一個高效的攻擊管道：Direct Send 傳送看似合法的網路釣魚電子信箱，而 Axios 則自動執行後端工作流程，例如攔截 MFA 令牌和驗證被盜憑證。”

“這種無縫系統允許攻擊者以最小的努力進行大規模操作，融入合法的 Axios 流量並逃避檢測。”

ReliaQuest 敦促 各組織透過以下方式減輕 Axios 濫用的威脅：

• 如果不需要，請禁用直接傳送功能。如果使用此功能，則建議各組織實施更嚴格的控制，並透過電子信箱安全閘道器路由內部電子信箱活動以進行威脅檢查，例如掃描惡意二維碼、URL 或 PDF 附件。
• 在電子信箱閘道器上配置反欺騙策略，以阻止偽裝成來自可信來源的電子信箱
• 培訓所有使用者（包括高管）識別主題為“MEM0”、“0VERDUE”和“INV0ICE”等的網路釣魚電子信箱
• 除非出於業務原因需要，否則阻止 .es 和 .ru 等不常見的頂級網域名稱