行业新闻与博客

安全专家警告称，滥用 Axios 用户代理和微软直接发送功能的自动网络钓鱼活动将大幅增加。

ReliaQuest 今天在一份新报告中声称，它观察到 2025 年 6 月至 8 月期间使用 Axios 的网络钓鱼活动增加了 241%。Axios 占该期间分析的所有恶意用户代理活动的近四分之一（24%），这使其比 ReliaQuest 追踪的任何其他代理都常见 10 倍。

该威胁情报供应商表示，基于 Axios 的攻击成功率为 58%，而没有用户代理的攻击成功率仅为 9%。

该活动最初针对的是金融、医疗保健和制造业等领域的高管和经理，现已扩大到普通互联网用户。

报告称，Axios 是一个轻量级的、基于承诺的 HTTP 客户端，它使攻击者能够轻松扩展其网络钓鱼活动。

尽管是一种合法工具，但该代理能够轻松拦截、修改和重放 HTTP 请求，并无缝融入工作流程，这使得它特别受重视。

ReliaQuest 表示：“其基于承诺的 API 和中间件拦截器使攻击者能够轻松记录、调整、重放和排除故障。这使得绕过多因素身份验证 (MFA)、劫持会话令牌以及针对每个目标定制攻击变得更加容易。”

在我们发现的 Axios 活动中，二维码和钓鱼域名设置了陷阱，然后 Axios 让攻击者利用其捕获的数据。在我们观察到的事件中，Axios 在与 API 交互和绕过 MFA 保护方面发挥了关键作用。

报告指出，其他用户代理需要威胁行为者编写复杂的自定义脚本或依赖更明显可疑的工具，而 Axios 结合了灵活性和易于自动化的特点，并且能够通过大多数用户代理分析和基于信誉的过滤检查。

直接发送会放大攻击

ReliaQuest 指出，在最近的活动中，将 Axios 与 Microsoft 的 Direct Send 配对的攻击取得了更高的成功率（70％）。

这是因为直接发送通常默认受到安全工具的信任。

报告解释说：“Direct Send 和 Axios 共同构成了一个高效的攻击管道：Direct Send 发送看似合法的网络钓鱼电子邮件，而 Axios 则自动执行后端工作流程，例如拦截 MFA 令牌和验证被盗凭证。”

“这种无缝系统允许攻击者以最小的努力进行大规模操作，融入合法的 Axios 流量并逃避检测。”

ReliaQuest 敦促 各组织通过以下方式减轻 Axios 滥用的威胁：

• 如果不需要，请禁用直接发送功能。如果使用此功能，则建议各组织实施更严格的控制，并通过电子邮件安全网关路由内部电子邮件活动以进行威胁检查，例如扫描恶意二维码、URL 或 PDF 附件。
• 在电子邮件网关上配置反欺骗策略，以阻止伪装成来自可信来源的电子邮件
• 培训所有用户（包括高管）识别主题为“MEM0”、“0VERDUE”和“INV0ICE”等的网络钓鱼电子邮件
• 除非出于业务原因需要，否则阻止 .es 和 .ru 等不常见的顶级域名