Account Azure presi di mira: phishing per rubare le credenziali di account dirigenziali

Account Azure presi di mira: phishing per rubare le credenziali di account dirigenziali

Usando tecniche di phishing e successivamente abusando delle misure di autenticazione a più fattori, un attore di minaccia al momento non identificato prende di mira gli account Azure di figure dirigenziali di varie organizzazioni nel mondo

di pubblicata il , alle 10:01 nel canale Sicurezza
Azure
 

I ricercatori di sicurezza di Proofpoint hanno individuato una campagna che prende di mira gli account Microsoft Azure con l'obiettivo di sottrarre dati sensibili e informazioni finanziarie da varie organizzazioni, in particolare puntando alla compromissione degli account di figure dirigenziali. La campagna prevede l'uso di e-mail con allegati documenti condivisi che puntano ad una pagina web di phishing così da rubare credenziali di accesso e prendere controllo degli account.

Proofpoint osserva che l'attore di minaccia va alla ricerca di svariate figure in diverse organizzazioni, arrivando a colpire centinaia di utenti a livello globale. La società di sicurezza ha rilevato che tra le figure prese di mira vi sono persone che ricoprono ruoli di alto livello come "Vice Presidente delle Operazioni", "Direttore finanziario e tesoriere" e "Presidente e amministratore delegato".

Se uno dei tentativi di phishing ha successo e l'account viene compromesso, l'attore di minaccia si adopera per far sì che il legittimo proprietario non riesca più ad accedervi, abusando dei sistemi di autenticazione multifattoriale.

Una volta che l'account è stato compromesso, l'aggressore si occupa di recuperare ogni genere di file contenenti informazioni sensibili (dettagli finanziari, protocolli di sicurezza, credenziali di account) e di allestire una nuova "piattaforma" di phishing sfruttando le caselle e-mail collegate agli account compromessi, andando a bersagliare questa volta altri utenti interni all'azienda o anche tentando di colpire realtà esterne, facendo leva sull'autorevolezza dell'indirizzo e-mail del mittente.

Sono stati rilevati anche tentativi di truffa, con invio di messaggi di posta elettronica ai dipartimenti delle risorse umane, allo scopo di indurre l'esecuzione di operazioni finanziarie. Infine l'attore di minaccia modificano le regole delle caselle di posta per occultare le prove delle attività dannose.

Proofpoint ha osservato che gli attacchi hanno origine da diversi proxy che fungono da intermediari tra l'infrastruttura dell'attaccante e gli account presi di mira, allo scopo di "allineare" la posizione geografica dell'indirizzo IP di connessione con la regione del bersaglio per aggirare eventuali politiche di geofencing. I servizi proxy vengono ruotati frequentemente, così da rendere più difficile per le vittime bloccare gli IP da cui hanno origine gli attacchi. L'aggressore fa uso anche di servizi di hosting e domini compromessi per confondere le tracce e rendere più complesso riuscire a risalire al loro operato.

Proofpoint ha pubblicato una lista di indicatori di compromissione, utili per effettuare le necessarie indagini per sapere se si è stati presi di mira.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
UtenteHD13 Febbraio 2024, 15:10 #1
Oramai leggendo ovunque e' sempre peggio.. forse il boost lo si ha dai pack precompilati ecc.. che vendono in dark web ed ora anche dalle IA che, sempre leggendo, si riescono a sfruttare anche in questi brutti campi.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^