Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

CompromissioneMinacce

“KnockKnock”: campagna di attacchi ad account di posta Office 365

botnet  KnockKnock  microsoft  Office 365   martedì, 10 ottobre 2017

È stata recentemente rilevata una vasta campagna di attacchi volta alla compromissione di account di posta elettronica gestiti tramite servizi cloud Office 365.

Come segnalato al CERT Nazionale dalla società Yoroi, l’attacco, noto con il nome KnockKnock, è caratterizzato da tentativi di accesso ad account di sistema all’interno degli ambienti Office 365 di Microsoft.

L’analisi indica che l’attacco è caratterizzato dall’impiego di una botnet di modeste dimensioni utilizzata per l’esecuzione di un numero di tentativi di login limitato in modo da aggirare i tradizionali sistemi di rilevamento di attacchi a forza bruta. Gli account oggetto di questo attacco risultano inoltre legati ad utenze tecniche, utenze di automazione, di marketing o di servizio in generale.

I primi attacchi sono stati registrati a partire da maggio 2017 e la campagna risulta tuttora in corso. Al momento le attività illecite sono state osservate da 83 indirizzi IP registrati presso provider localizzati prevalentemente in Cina e, in misura minore, in altri paesi tra i quali Russia, Brasile, Stati Uniti, Argentina, Gabon, Azerbaijan e Malesia.

A seguito della compromissione delle credenziali degli account bersaglio, gli attaccanti sono in grado di configurare redirezioni dei flussi Email tramite apposite regole e di tentare la propagazione all’interno delle altre caselle Email mediante messaggi di phishing originati dagli stessi account compromessi.

Si raccomanda agli utenti e agli amministratori di servizi Office 365 di segnalare eventuali Email anomale provenienti da account tecnici o di servizio, di effettuare controlli sui login relativi alle utenze Office 365 per verificare l’assenza di accessi potenzialmente riconducibili alla campagna di attacco in oggetto e di abilitare l’auditing degli eventi relativi alle attività di tipo “User signed in to mailbox” all’interno del Centro sicurezza e conformità di Office 365. Per maggiori informazioni si faccia riferimento alle seguenti fonti esterne:

Per un’analisi dettagliata dell’attacco KnockKnock è possibile consultare il seguente articolo (in Inglese):

Notizie correlate

Vulnerabilità 0-day in Microsoft Edge

20 febbraio 2018

È stata resa nota una vulnerabilità zero-day in Microsoft Edge che può causare l'esecuzione di codice arbitrario nel contesto del processo del browser.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (febbraio 2018)

14 febbraio 2018

Microsoft ha rilasciato il 13 febbraio 2018 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti, di cui molte critiche in Internet Explorer, Edge, Windows e Office.Leggi tutto

Vulnerabilità in Skype Updater consente l’elevazione dei privilegi in Windows

13 febbraio 2018

È stata scoperta una grave vulnerabilità nel meccanismo di aggiornamento automatico di Skype per Windows che può consentire l'esecuzione di codice arbitrario con privilegi elevati.Leggi tutto