行業新聞與博客

安全專家警告稱，濫用 Axios 用户代理和微軟直接發送功能的自動網絡釣魚活動將大幅增加。

ReliaQuest 今天在一份新報告中聲稱，它觀察到 2025 年 6 月至 8 月期間使用 Axios 的網絡釣魚活動增加了 241%。Axios 佔該期間分析的所有惡意用户代理活動的近四分之一（24%），這使其比 ReliaQuest 追蹤的任何其他代理都常見 10 倍。

該威脅情報供應商表示，基於 Axios 的攻擊成功率為 58%，而沒有用户代理的攻擊成功率僅為 9%。

該活動最初針對的是金融、醫療保健和製造業等領域的高管和經理，現已擴大到普通互聯網用户。

報告稱，Axios 是一個輕量級的、基於承諾的 HTTP 客户端，它使攻擊者能夠輕鬆擴展其網絡釣魚活動。

儘管是一種合法工具，但該代理能夠輕鬆攔截、修改和重放 HTTP 請求，並無縫融入工作流程，這使得它特別受重視。

ReliaQuest 表示：“其基於承諾的 API 和中間件攔截器使攻擊者能夠輕鬆記錄、調整、重放和排除故障。這使得繞過多因素身份驗證 (MFA)、劫持會話令牌以及針對每個目標定製攻擊變得更加容易。”

在我們發現的 Axios 活動中，二維碼和釣魚域名設置了陷阱，然後 Axios 讓攻擊者利用其捕獲的數據。在我們觀察到的事件中，Axios 在與 API 交互和繞過 MFA 保護方面發揮了關鍵作用。

報告指出，其他用户代理需要威脅行為者編寫複雜的自定義腳本或依賴更明顯可疑的工具，而 Axios 結合了靈活性和易於自動化的特點，並且能夠通過大多數用户代理分析和基於信譽的過濾檢查。

直接發送會放大攻擊

ReliaQuest 指出，在最近的活動中，將 Axios 與 Microsoft 的 Direct Send 配對的攻擊取得了更高的成功率（70％）。

這是因為直接發送通常默認受到安全工具的信任。

報告解釋説：“Direct Send 和 Axios 共同構成了一個高效的攻擊管道：Direct Send 發送看似合法的網絡釣魚電郵，而 Axios 則自動執行後端工作流程，例如攔截 MFA 令牌和驗證被盜憑證。”

“這種無縫系統允許攻擊者以最小的努力進行大規模操作，融入合法的 Axios 流量並逃避檢測。”

ReliaQuest 敦促 各組織通過以下方式減輕 Axios 濫用的威脅：

• 如果不需要，請禁用直接發送功能。如果使用此功能，則建議各組織實施更嚴格的控制，並通過電郵安全網關路由內部電郵活動以進行威脅檢查，例如掃描惡意二維碼、URL 或 PDF 附件。
• 在電郵網關上配置反欺騙策略，以阻止偽裝成來自可信來源的電郵
• 培訓所有用户（包括高管）識別主題為“MEM0”、“0VERDUE”和“INV0ICE”等的網絡釣魚電郵
• 除非出於業務原因需要，否則阻止 .es 和 .ru 等不常見的頂級域名