AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Scoperta di una campagna di attacchi AiTM su Microsoft 365

Un'esplorazione dettagliata delle tecniche di attacco AiTM e delle strategie di mitigazione per proteggere Microsoft 365 da compromissioni avanzate

Nel luglio 2024, il team di sicurezza di Field Effect ha scoperto attacchi "Adversary-in-the-Middle" (AiTM) contro Microsoft 365, usando Axios per rubare credenziali degli utenti, compresi i codici MFA, via phishing. Si consiglia monitoraggio, rotazione credenziali e formazione anti-phishing.

This pill is also available in English language

Nel luglio 2024, il team di sicurezza di Field Effect ha individuato una sofisticata campagna di attacchi denominati "Adversary-in-the-Middle" (AiTM), prendendo di mira Microsoft 365 (M365). Questo metodo insidioso fa leva su avanzate tecniche di Business Email Compromise (BEC), sfruttando la capacità di intercettare e reindirizzare le credenziali degli utenti durante la fase di autenticazione. Analizzando queste attività, è emerso l'uso sospetto della stringa user agent "axios/1.7.2", associata a tentativi di accesso tramite Internet Service Provider (ISP) noti per ospitare attività malevole. Nella catena di compromissione viene utilizzato Axios, un legittimo client HTTP per browser e node.js, che gli attaccanti hanno manipolato per imitare le richieste di login legittime, trasformando e cancellando le richieste e risposte HTTP a proprio vantaggio, consentendo così il furto delle credenziali degli utenti.

Tecniche di intercettazione e raccolta credenziali

Gli attacchi AiTM sfruttano principalmente il phishing. Gli utenti bersaglio ricevono email di phishing perfettamente simulate per indurli a visitare domini malevoli. Questi domini ospitano pagine di login M365, costruite utilizzando Axios per replicare fedelmente l'aspetto delle pagine di login originali. Quando l'utente inserisce le credenziali su queste pagine fasulle, Axios le intercetta e le utilizza immediatamente per autenticarsi sulla vera pagina di M365 in tempo reale. Un aspetto particolarmente preoccupante di questa campagna è la compromissione delle misure di autenticazione a più fattori (MFA), riuscendo non solo a ottenere password, ma anche i codici MFA, permettendo agli attaccanti di effettuare accessi non autorizzati agli account delle vittime.

Tecniche speculative e indicatori di compromissione

Per eludere i sistemi di rilevamento, gli attaccanti hanno utilizzato Axios per creare richieste HTTP che imitavano esattamente quelle degli utenti legittimi. Questo stratagemma consentiva loro di intercettare le credenziali senza destare sospetti, grazie alla cattura in tempo reale delle informazioni inserite. Inoltre, venivano utilizzati ISP noti per attività malevole, come Hostinger International Limited e Global Internet Solutions LLC, per camuffare l'origine degli attacchi e complicare l'identificazione delle attività sospette. Le email di phishing erano estremamente convincenti, progettate per somigliare a comunicazioni ufficiali di M365. Gli indicatori di compromissione (IoC) identificati comprendevano specifiche stringhe user agent come "axios/1.7.2", "axios/1.7.1" e "axios/1.6.8", oltre a domini di phishing come "lsj.logentr[.]com" e "okhyg.unsegin[.]com".

Strategie di Mitigazione e Sicurezza

Per difendersi da questa sofisticata minaccia, è cruciale implementare un monitoraggio continuo dei log per identificare tentativi di accesso sospetti utilizzando gli IoC rilevati. È altresì essenziale effettuare una rotazione delle credenziali per gli account compromessi e verificare che l'autenticazione a più fattori (MFA) sia attivata su tutti gli account, monitorando eventuali anomalie. Una formazione continua dei dipendenti sulle tecniche di phishing è fondamentale per aiutarli a riconoscere email sospette e evitarne l'interazione. Questa campagna di AiTM dimostra l'importanza di un approccio integrato alla sicurezza, combinando tecnologie sofisticate e un'attenta formazione dell'utente finale per proteggere le infrastrutture aziendali da minacce sempre più avanzate.

Follow us on Telegram for more pills like this

07/10/2024 09:31

Marco Verro

Last pills

Google Cloud security predictions for 2024: how AI will reshape the cybersecurity landscapeFind out how AI will transform cybersecurity and address geopolitical threats in 2024 according to Google Cloud report

AT&T: data breach discovered that exposes communications of millions of usersDigital security compromised: learn how a recent AT&T data breach affected millions of users

New critical vulnerability discovered in OpenSSH: remote code execution riskFind out how a race condition in recent versions of OpenSSH puts system security at risk: details, impacts and solutions to implement immediately

Discovery of an AiTM attack campaign on Microsoft 365A detailed exploration of AiTM attack techniques and mitigation strategies to protect Microsoft 365 from advanced compromises