Scoperta di una campagna di attacchi AiTM su Microsoft 365

Nel luglio 2024, il team di sicurezza di Field Effect ha individuato una sofisticata campagna di attacchi denominati "Adversary-in-the-Middle" (AiTM), prendendo di mira Microsoft 365 (M365). Questo metodo insidioso fa leva su avanzate tecniche di Business Email Compromise (BEC), sfruttando la capacità di intercettare e reindirizzare le credenziali degli utenti durante la fase di autenticazione. Analizzando queste attività, è emerso l'uso sospetto della stringa user agent "axios/1.7.2", associata a tentativi di accesso tramite Internet Service Provider (ISP) noti per ospitare attività malevole. Nella catena di compromissione viene utilizzato Axios, un legittimo client HTTP per browser e node.js, che gli attaccanti hanno manipolato per imitare le richieste di login legittime, trasformando e cancellando le richieste e risposte HTTP a proprio vantaggio, consentendo così il furto delle credenziali degli utenti.

Tecniche di intercettazione e raccolta credenziali

Gli attacchi AiTM sfruttano principalmente il phishing. Gli utenti bersaglio ricevono email di phishing perfettamente simulate per indurli a visitare domini malevoli. Questi domini ospitano pagine di login M365, costruite utilizzando Axios per replicare fedelmente l'aspetto delle pagine di login originali. Quando l'utente inserisce le credenziali su queste pagine fasulle, Axios le intercetta e le utilizza immediatamente per autenticarsi sulla vera pagina di M365 in tempo reale. Un aspetto particolarmente preoccupante di questa campagna è la compromissione delle misure di autenticazione a più fattori (MFA), riuscendo non solo a ottenere password, ma anche i codici MFA, permettendo agli attaccanti di effettuare accessi non autorizzati agli account delle vittime.

Tecniche speculative e indicatori di compromissione

Per eludere i sistemi di rilevamento, gli attaccanti hanno utilizzato Axios per creare richieste HTTP che imitavano esattamente quelle degli utenti legittimi. Questo stratagemma consentiva loro di intercettare le credenziali senza destare sospetti, grazie alla cattura in tempo reale delle informazioni inserite. Inoltre, venivano utilizzati ISP noti per attività malevole, come Hostinger International Limited e Global Internet Solutions LLC, per camuffare l'origine degli attacchi e complicare l'identificazione delle attività sospette. Le email di phishing erano estremamente convincenti, progettate per somigliare a comunicazioni ufficiali di M365. Gli indicatori di compromissione (IoC) identificati comprendevano specifiche stringhe user agent come "axios/1.7.2", "axios/1.7.1" e "axios/1.6.8", oltre a domini di phishing come "lsj.logentr[.]com" e "okhyg.unsegin[.]com".

Strategie di Mitigazione e Sicurezza

Per difendersi da questa sofisticata minaccia, è cruciale implementare un monitoraggio continuo dei log per identificare tentativi di accesso sospetti utilizzando gli IoC rilevati. È altresì essenziale effettuare una rotazione delle credenziali per gli account compromessi e verificare che l'autenticazione a più fattori (MFA) sia attivata su tutti gli account, monitorando eventuali anomalie. Una formazione continua dei dipendenti sulle tecniche di phishing è fondamentale per aiutarli a riconoscere email sospette e evitarne l'interazione. Questa campagna di AiTM dimostra l'importanza di un approccio integrato alla sicurezza, combinando tecnologie sofisticate e un'attenta formazione dell'utente finale per proteggere le infrastrutture aziendali da minacce sempre più avanzate.