Una recente indagine di Proofpoint ha rivelato una campagna di phishing e di compromissione degli account cloud mirata a professionisti di alto livello, inclusi dirigenti senior e l’obiettivo dei criminali è compromettere ambienti e account cloud di Microsoft Azure, utilizzando esche di phishing personalizzate distribuite tramite documenti condivisi, che contengono link malevoli mascherati da pulsanti “Visualizza documento”.
Strategie e Vittime Predilette
Gli attacchi sembrano avere un ampio raggio d’azione ma si concentrano in particolare su manager, direttori commerciali, responsabili account, manager finanziari e dirigenti in posizioni esecutive. Gli aggressori, una volta ottenuto l’accesso agli ambienti cloud delle vittime, attuano diverse strategie, tra cui l’impostazione di autenticazioni a più fattori per mantenere l’accesso persistente, l’esfiltrazione di dati e, in alcuni casi, il coinvolgimento in frodi tramite email aziendali (BEC) inviando richieste di pagamento ai dipartimenti HR e finanziari.
Per nascondere la loro presenza e cancellare ogni traccia della loro attività, gli hacker impostano regole di inoltro delle email e altre tecniche di occultamento. Sebbene l’infrastruttura utilizzata dagli hacker comprenda proxy, servizi di hosting dati e domini compromessi, l’uso di ISP locali ha fornito indizi sulla loro possibile origine, suggerendo che gli attaccanti potrebbero essere di origine russa e nigeriana.
Implicazioni e Precauzioni
È importante sottolineare che, al momento, Proofpoint non ha attribuito questa campagna di hacking a un particolare gruppo di minaccia. La scoperta di questa campagna solleva preoccupazioni significative per la sicurezza dei dati aziendali, soprattutto per le figure di alto livello che spesso hanno accesso a informazioni sensibili e riservate.
Per proteggersi da tali minacce, le aziende dovrebbero adottare misure di sicurezza rigorose, tra cui la formazione dei dipendenti sul riconoscimento delle tecniche di phishing non solo su Azure, l’utilizzo di soluzioni di sicurezza avanzate per la protezione degli ambienti cloud e la verifica regolare dei log di accesso e delle attività sospette.