▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Account takeover: campagna coinvolge ambienti cloud Microsoft Azure

Una articolata campagna di account takeover consente agli attaccanti la manipolazione dell’MFA, l’esfiltrazione di dati e l’attivazione di frodi finanziarie.

Tecnologie/Scenari

È ancora attiva la campagna di account takeover (ATO) intercettata da Proofpoint, che colpisce decine di ambienti Microsoft Azure. Per chi non fosse al corrente, ATO è il furto di credenziali - nel caso specifico di account cloud - che permette successivamente agli attaccanti di sfruttare le credenziali valide rubate per mascherarsi da utenti legittimi e usare i loro account per commettere frodi.

Un attacco da manuale

Tutto inizia nel novembre 2023, quando i ricercatori di Proofpoint rilevano una campagna malevola che integra tecniche di credential phishing e di account takeover. Nell'ambito di questa campagna, che è ancora attiva, gli attaccanti prendono di mira potenziali vittime accuratamente scelte usando esche di phishing personalizzate e inserite all'interno di documenti condivisi. I destinatari sono centinaia di utenti in tutto il mondo impiegati in aziende di diversi settori, con posizioni lavorative di vari livelli, dagli account manager agli amministratori delegati. Proprio l’ampio ventaglio di cariche aziendali prese di mira indica la strategia degli attaccanti, che prevede la compromissione di account con vari livelli di accesso a risorse e responsabilità.

Una volta ottenuto l'accesso iniziale segue una sequenza di attività post-compromissione non autorizzate. La prima è la manipolazione dell'autenticazione a più fattori: gli attaccanti registrano i propri metodi MFA per mantenere l'accesso persistente all’account. Dal monitoraggio di Proofpoint è emerso che la tecnica MFA preferita dagli attaccanti è l’uso di una app con notifica e codice.


A questo primo passaggio segue l’esfiltrazione di dati: ora che i cyber criminali hanno accesso all’account, accedono e scaricano file sensibili, tra cui risorse finanziarie, protocolli di sicurezza interni e credenziali utente. L’accesso ai dati include anche quello alle caselle di posta elettronica, da cui parte la terza attività: il phishing interno ed esterno. Mediante le email gli attaccanti coinvolgono altre vittime all'interno della stessa azienda, prendendoli di mira con un phishing personalizzato.

Si arriva all’ennesimo obiettivo: la frode finanziaria. Per ottenerla gli attaccanti veicolano le email canaglia ai dipartimenti delle risorse umane e finanziarie all'interno delle organizzazioni vittime. Dato che le email provengono effettivamente da colleghi di alto livello, è più facile aggirare i sospetti e ottenere i risultati voluti. E per evitare che i legittimi proprietari degli account si accorgano di quanto accade, i cyber criminali modificano le regole del client email per cancellare tutte le prove di attività che possano insospettire le vittime.

Gli analisti di Proofpoint hanno identificato e pubblicato specifici Indicatori di Compromissione (IOC) associati a questo attacco, in particolare l’uso di uno user-agent Linux distinto per accedere all’applicazione di sign-in “OfficeHome”, insieme all’accesso non autorizzato ad altre applicazioni native di Microsoft365.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter