È ancora attiva la campagna di account takeover (ATO) intercettata da Proofpoint, che colpisce decine di ambienti Microsoft Azure. Per chi non fosse al corrente, ATO è il furto di credenziali - nel caso specifico di account cloud - che permette successivamente agli attaccanti di sfruttare le credenziali valide rubate per mascherarsi da utenti legittimi e usare i loro account per commettere frodi.

Un attacco da manuale

Tutto inizia nel novembre 2023, quando i ricercatori di Proofpoint rilevano una campagna malevola che integra tecniche di credential phishing e di account takeover. Nell'ambito di questa campagna, che è ancora attiva, gli attaccanti prendono di mira potenziali vittime accuratamente scelte usando esche di phishing personalizzate e inserite all'interno di documenti condivisi. I destinatari sono centinaia di utenti in tutto il mondo impiegati in aziende di diversi settori, con posizioni lavorative di vari livelli, dagli account manager agli amministratori delegati. Proprio l’ampio ventaglio di cariche aziendali prese di mira indica la strategia degli attaccanti, che prevede la compromissione di account con vari livelli di accesso a risorse e responsabilità.

Una volta ottenuto l'accesso iniziale segue una sequenza di attività post-compromissione non autorizzate. La prima è la manipolazione dell'autenticazione a più fattori: gli attaccanti registrano i propri metodi MFA per mantenere l'accesso persistente all’account. Dal monitoraggio di Proofpoint è emerso che la tecnica MFA preferita dagli attaccanti è l’uso di una app con notifica e codice.

A questo primo passaggio segue l’esfiltrazione di dati: ora che i cyber criminali hanno accesso all’account, accedono e scaricano file sensibili, tra cui risorse finanziarie, protocolli di sicurezza interni e credenziali utente. L’accesso ai dati include anche quello alle caselle di posta elettronica, da cui parte la terza attività: il phishing interno ed esterno. Mediante le email gli attaccanti coinvolgono altre vittime all'interno della stessa azienda, prendendoli di mira con un phishing personalizzato.

Si arriva all’ennesimo obiettivo: la frode finanziaria. Per ottenerla gli attaccanti veicolano le email canaglia ai dipartimenti delle risorse umane e finanziarie all'interno delle organizzazioni vittime. Dato che le email provengono effettivamente da colleghi di alto livello, è più facile aggirare i sospetti e ottenere i risultati voluti. E per evitare che i legittimi proprietari degli account si accorgano di quanto accade, i cyber criminali modificano le regole del client email per cancellare tutte le prove di attività che possano insospettire le vittime.

Gli analisti di Proofpoint hanno identificato e pubblicato specifici Indicatori di Compromissione (IOC) associati a questo attacco, in particolare l’uso di uno user-agent Linux distinto per accedere all’applicazione di sign-in “OfficeHome”, insieme all’accesso non autorizzato ad altre applicazioni native di Microsoft365.