Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

CompromissioneMinacce

“KnockKnock”: campagna di attacchi ad account di posta Office 365

botnet  KnockKnock  microsoft  Office 365   martedì, 10 ottobre 2017

È stata recentemente rilevata una vasta campagna di attacchi volta alla compromissione di account di posta elettronica gestiti tramite servizi cloud Office 365.

Come segnalato al CERT Nazionale dalla società Yoroi, l’attacco, noto con il nome KnockKnock, è caratterizzato da tentativi di accesso ad account di sistema all’interno degli ambienti Office 365 di Microsoft.

L’analisi indica che l’attacco è caratterizzato dall’impiego di una botnet di modeste dimensioni utilizzata per l’esecuzione di un numero di tentativi di login limitato in modo da aggirare i tradizionali sistemi di rilevamento di attacchi a forza bruta. Gli account oggetto di questo attacco risultano inoltre legati ad utenze tecniche, utenze di automazione, di marketing o di servizio in generale.

I primi attacchi sono stati registrati a partire da maggio 2017 e la campagna risulta tuttora in corso. Al momento le attività illecite sono state osservate da 83 indirizzi IP registrati presso provider localizzati prevalentemente in Cina e, in misura minore, in altri paesi tra i quali Russia, Brasile, Stati Uniti, Argentina, Gabon, Azerbaijan e Malesia.

A seguito della compromissione delle credenziali degli account bersaglio, gli attaccanti sono in grado di configurare redirezioni dei flussi Email tramite apposite regole e di tentare la propagazione all’interno delle altre caselle Email mediante messaggi di phishing originati dagli stessi account compromessi.

Si raccomanda agli utenti e agli amministratori di servizi Office 365 di segnalare eventuali Email anomale provenienti da account tecnici o di servizio, di effettuare controlli sui login relativi alle utenze Office 365 per verificare l’assenza di accessi potenzialmente riconducibili alla campagna di attacco in oggetto e di abilitare l’auditing degli eventi relativi alle attività di tipo “User signed in to mailbox” all’interno del Centro sicurezza e conformità di Office 365. Per maggiori informazioni si faccia riferimento alle seguenti fonti esterne:

Per un’analisi dettagliata dell’attacco KnockKnock è possibile consultare il seguente articolo (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (novembre 2019)

14 novembre 2019

Nella giornata del 12 novembre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Vulnerabilità in Microsoft Office per Mac consente esecuzione di codice da remoto

5 novembre 2019

È stata scoperta una vulnerabilità in Microsoft Office per Mac 2011 che potrebbe consentire l'esecuzione di codice arbitrario da remoto mediante file SYLK.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (ottobre 2019)

9 ottobre 2019

Nella giornata dell'8 ottobre 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto