Proofpoint segnala una campagna che sfrutta ambienti cloud Microsoft Azure per colpire responsabili aziendali e compromettere gli account utenti. I ricercatori di Proofpoint hanno identificato la campagna di takeover di account cloud a fine novembre 2023. L’attività particolarmente pericolosa integra tecniche di phishing delle credenziali e di acquisizione degli account nel cloud, con un impatto su decine di ambienti Microsoft Azure e la compromissione di centinaia di account utente.
Differenti livelli di accesso
Gli attori delle minacce prendono di mira gli utenti con esche di phishing personalizzate all’interno di documenti condivisi. Documenti che possono, ad esempio, includere link incorporati con l’indicazione “Visualizzare il documento” e, a loro volta, reindirizzare gli utenti a una pagina web di phishing pericolosa quando aprono l’URL. La campagna sta prendendo di mira ruoli aziendali di alto livello, dagli account manager agli amministratori delegati. Inoltre evidenzia una strategia pratica dei cybercriminali, per compromettere account con differenti livelli di accesso a risorse e responsabilità in tutte le funzioni organizzative.
Proofpoint segnala la campagna che sfrutta ambienti Microsoft Azure
L’analisi dei modelli e delle tecniche comportamentali ha permesso ai ricercatori i Proofpoint di identificare specifici Indicatori di Compromissione (IOC) associati a questo attacco. In particolare l’uso di uno user-agent Linux distinto per accedere all’applicazione di sign-in “OfficeHome”, insieme all’accesso non autorizzato ad altre applicazioni native di Microsoft365. L’accesso iniziale riuscito ha spesso portato a una sequenza di attività post-compromissione non autorizzate. Come manipolazione dell’MFA, esfiltrazione di dati, phishing interno ed esterno, frodi finanziarie e modifica delle regole email per coprire le proprie tracce e a cancellare ogni prova di attività dannosa.