I ricercatori di Proofpoint hanno identificato una campagna di takeover di account cloud che ha colpito decine di ambienti Microsoft Azure e compromesso centinaia di account di utenti.
La campagna in corso, rilevata a fine novembre scorso, integra tecniche di phishing delle credenziali e di acquisizione degli account nel cloud, con un impatto su decine di ambienti Microsoft Azure e la compromissione di centinaia di account utente.
Gli attori delle minacce prendono di mira gli utenti con esche di phishing personalizzate all’interno di documenti condivisi, che possono ad esempio includere link incorporati con l’indicazione “Visualizzare il documento” che, a loro volta, reindirizzano gli utenti a una pagina web di phishing pericolosa quando aprono l’URL.
Alla luce di fenomeni del genere diventa sempre più centrale per le imprese investire in modo serio in sicurezza, anche affidandosi ai partner più skillati, assicurando per la propria organizzazione una corretta cyber hygiene che comprenda l’adozione di tecnologie innovative ma anche la formazione del personale, che molto spesso, inavvertitamente, è il punto di ingresso attraverso il quale passano i criminali informatici.
Tornando alla nuova campagna, questa sta prendendo di mira ruoli aziendali di alto livello, dagli account manager agli amministratori delegati, e evidenzia una strategia pratica dei cybercriminali, volta a compromettere account con vari livelli di accesso a risorse e responsabilità preziose in tutte le funzioni organizzative.
L’analisi dei modelli e delle tecniche comportamentali ha permesso ai ricercatori di Proofpoint di identificare specifici Indicatori di Compromissione (IOC) associati a questo attacco, in particolare l’uso di uno user-agent Linux distinto per accedere all’applicazione di sign-in “OfficeHome”, insieme all’accesso non autorizzato ad altre applicazioni native di Microsoft365.
L’accesso iniziale riuscito ha spesso portato a una sequenza di attività post-compromissione non autorizzate, tra cui manipolazione dell’MFA, esfiltrazione di dati, phishing interno ed esterno, frodi finanziarie e modifica delle regole email per coprire le proprie tracce e a cancellare ogni prova di attività dannosa.