Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

CompromissioneMinacce

“KnockKnock”: campagna di attacchi ad account di posta Office 365

botnet  KnockKnock  microsoft  Office 365   martedì, 10 ottobre 2017

È stata recentemente rilevata una vasta campagna di attacchi volta alla compromissione di account di posta elettronica gestiti tramite servizi cloud Office 365.

Come segnalato al CERT Nazionale dalla società Yoroi, l’attacco, noto con il nome KnockKnock, è caratterizzato da tentativi di accesso ad account di sistema all’interno degli ambienti Office 365 di Microsoft.

L’analisi indica che l’attacco è caratterizzato dall’impiego di una botnet di modeste dimensioni utilizzata per l’esecuzione di un numero di tentativi di login limitato in modo da aggirare i tradizionali sistemi di rilevamento di attacchi a forza bruta. Gli account oggetto di questo attacco risultano inoltre legati ad utenze tecniche, utenze di automazione, di marketing o di servizio in generale.

I primi attacchi sono stati registrati a partire da maggio 2017 e la campagna risulta tuttora in corso. Al momento le attività illecite sono state osservate da 83 indirizzi IP registrati presso provider localizzati prevalentemente in Cina e, in misura minore, in altri paesi tra i quali Russia, Brasile, Stati Uniti, Argentina, Gabon, Azerbaijan e Malesia.

A seguito della compromissione delle credenziali degli account bersaglio, gli attaccanti sono in grado di configurare redirezioni dei flussi Email tramite apposite regole e di tentare la propagazione all’interno delle altre caselle Email mediante messaggi di phishing originati dagli stessi account compromessi.

Si raccomanda agli utenti e agli amministratori di servizi Office 365 di segnalare eventuali Email anomale provenienti da account tecnici o di servizio, di effettuare controlli sui login relativi alle utenze Office 365 per verificare l’assenza di accessi potenzialmente riconducibili alla campagna di attacco in oggetto e di abilitare l’auditing degli eventi relativi alle attività di tipo “User signed in to mailbox” all’interno del Centro sicurezza e conformità di Office 365. Per maggiori informazioni si faccia riferimento alle seguenti fonti esterne:

Per un’analisi dettagliata dell’attacco KnockKnock è possibile consultare il seguente articolo (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (ottobre 2017)

11 ottobre 2017

Microsoft ha rilasciato il 10 ottobre 2017 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple, di cui molte critiche, in Internet Explorer, Edge, Windows e altri prodotti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (settembre 2017)

13 settembre 2017

Microsoft ha rilasciato il 12 settembre 2017 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple, di cui molte critiche, in .NET Framework, Internet Explorer, Edge, Windows e altri prodotti.Leggi tutto

WireX: attacchi DDoS da botnet di dispositivi Android

29 agosto 2017

Ricercatori provenienti da numerose società e vendor di sicurezza hanno scoperto una botnet, denominata WireX, composta da decine di migliaia di dispositivi Android compromessi.Leggi tutto