▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Account takeover: campagna coinvolge ambienti cloud Microsoft Azure

Una articolata campagna di account takeover consente agli attaccanti la manipolazione dell’MFA, l’esfiltrazione di dati e l’attivazione di frodi finanziarie.

Tecnologie/Scenari

È ancora attiva la campagna di account takeover (ATO) intercettata da Proofpoint, che colpisce decine di ambienti Microsoft Azure. Per chi non fosse al corrente, ATO è il furto di credenziali - nel caso specifico di account cloud - che permette successivamente agli attaccanti di sfruttare le credenziali valide rubate per mascherarsi da utenti legittimi e usare i loro account per commettere frodi.

Un attacco da manuale

Tutto inizia nel novembre 2023, quando i ricercatori di Proofpoint rilevano una campagna malevola che integra tecniche di credential phishing e di account takeover. Nell'ambito di questa campagna, che è ancora attiva, gli attaccanti prendono di mira potenziali vittime accuratamente scelte usando esche di phishing personalizzate e inserite all'interno di documenti condivisi. I destinatari sono centinaia di utenti in tutto il mondo impiegati in aziende di diversi settori, con posizioni lavorative di vari livelli, dagli account manager agli amministratori delegati. Proprio l’ampio ventaglio di cariche aziendali prese di mira indica la strategia degli attaccanti, che prevede la compromissione di account con vari livelli di accesso a risorse e responsabilità.

Una volta ottenuto l'accesso iniziale segue una sequenza di attività post-compromissione non autorizzate. La prima è la manipolazione dell'autenticazione a più fattori: gli attaccanti registrano i propri metodi MFA per mantenere l'accesso persistente all’account. Dal monitoraggio di Proofpoint è emerso che la tecnica MFA preferita dagli attaccanti è l’uso di una app con notifica e codice.


A questo primo passaggio segue l’esfiltrazione di dati: ora che i cyber criminali hanno accesso all’account, accedono e scaricano file sensibili, tra cui risorse finanziarie, protocolli di sicurezza interni e credenziali utente. L’accesso ai dati include anche quello alle caselle di posta elettronica, da cui parte la terza attività: il phishing interno ed esterno. Mediante le email gli attaccanti coinvolgono altre vittime all'interno della stessa azienda, prendendoli di mira con un phishing personalizzato.

Si arriva all’ennesimo obiettivo: la frode finanziaria. Per ottenerla gli attaccanti veicolano le email canaglia ai dipartimenti delle risorse umane e finanziarie all'interno delle organizzazioni vittime. Dato che le email provengono effettivamente da colleghi di alto livello, è più facile aggirare i sospetti e ottenere i risultati voluti. E per evitare che i legittimi proprietari degli account si accorgano di quanto accade, i cyber criminali modificano le regole del client email per cancellare tutte le prove di attività che possano insospettire le vittime.

Gli analisti di Proofpoint hanno identificato e pubblicato specifici Indicatori di Compromissione (IOC) associati a questo attacco, in particolare l’uso di uno user-agent Linux distinto per accedere all’applicazione di sign-in “OfficeHome”, insieme all’accesso non autorizzato ad altre applicazioni native di Microsoft365.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1