Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

CompromissioneMinacce

“KnockKnock”: campagna di attacchi ad account di posta Office 365

botnet  KnockKnock  microsoft  Office 365   martedì, 10 ottobre 2017

È stata recentemente rilevata una vasta campagna di attacchi volta alla compromissione di account di posta elettronica gestiti tramite servizi cloud Office 365.

Come segnalato al CERT Nazionale dalla società Yoroi, l’attacco, noto con il nome KnockKnock, è caratterizzato da tentativi di accesso ad account di sistema all’interno degli ambienti Office 365 di Microsoft.

L’analisi indica che l’attacco è caratterizzato dall’impiego di una botnet di modeste dimensioni utilizzata per l’esecuzione di un numero di tentativi di login limitato in modo da aggirare i tradizionali sistemi di rilevamento di attacchi a forza bruta. Gli account oggetto di questo attacco risultano inoltre legati ad utenze tecniche, utenze di automazione, di marketing o di servizio in generale.

I primi attacchi sono stati registrati a partire da maggio 2017 e la campagna risulta tuttora in corso. Al momento le attività illecite sono state osservate da 83 indirizzi IP registrati presso provider localizzati prevalentemente in Cina e, in misura minore, in altri paesi tra i quali Russia, Brasile, Stati Uniti, Argentina, Gabon, Azerbaijan e Malesia.

A seguito della compromissione delle credenziali degli account bersaglio, gli attaccanti sono in grado di configurare redirezioni dei flussi Email tramite apposite regole e di tentare la propagazione all’interno delle altre caselle Email mediante messaggi di phishing originati dagli stessi account compromessi.

Si raccomanda agli utenti e agli amministratori di servizi Office 365 di segnalare eventuali Email anomale provenienti da account tecnici o di servizio, di effettuare controlli sui login relativi alle utenze Office 365 per verificare l’assenza di accessi potenzialmente riconducibili alla campagna di attacco in oggetto e di abilitare l’auditing degli eventi relativi alle attività di tipo “User signed in to mailbox” all’interno del Centro sicurezza e conformità di Office 365. Per maggiori informazioni si faccia riferimento alle seguenti fonti esterne:

Per un’analisi dettagliata dell’attacco KnockKnock è possibile consultare il seguente articolo (in Inglese):

Notizie correlate

Microsoft rilascia aggiornamento per vulnerabilità multiple in Exchange

21 giugno 2018

Microsoft ha rilasciato un aggiornamento di sicurezza che risolve tre diverse vulnerabilità di gravità elevata in Microsoft Exchange Server.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (giugno 2018)

13 giugno 2018

Nella giornata del 12 giugno 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui Windows, Internet Explorer e Edge.Leggi tutto

Vulnerabilità 0-day nel componente JScript di Microsoft Windows

31 maggio 2018

È stata resa nota una vulnerabilità zero-day nel componente JScript di Windows che può causare l'esecuzione di codice malevolo arbitrario.Leggi tutto