Microsoft ha avvertito di un aumento delle attività malevoli da parte di un gruppo hacker di minacce informatiche emergente che sta monitorando con il nome di Storm-0539, specializzato in frodi e furti di buoni regalo attraverso attacchi di phishing altamente sofisticati via email e SMS contro entità del settore retail durante la stagione degli acquisti natalizi.
Come opera Storm-0539
L’obiettivo degli attacchi è diffondere collegamenti trappola che indirizzano le vittime verso pagine di phishing del tipo “avversario-nel-mezzo” (“adversary-in-the-middle”, AiTM) in grado di raccogliere le loro credenziali e token di sessione.
“Dopo aver ottenuto l’accesso a una sessione e un token iniziali, Storm-0539 registra il proprio dispositivo per successivi prompt di autenticazione secondaria, eludendo le protezioni MFA e persistendo nell’ambiente utilizzando l’identità completamente compromessa“, ha dichiarato il gigante tecnologico in una serie di post su X (precedentemente noto come Twitter).
La presa ottenuta in questo modo agisce ulteriormente come un condotto per l’accesso a dei privilegi più elevati (come quelli di amministratore), spostandosi lateralmente nella rete e accedendo alle risorse cloud al fine di acquisire informazioni sensibili, prendendo di mira in particolare i servizi legati ai buoni regalo per facilitare la frode.
Inoltre, Storm-0539 raccoglie email, liste di contatti e configurazioni di rete per attacchi successivi contro le stesse organizzazioni, rendendo necessaria l’adozione di pratiche robuste di protezione delle credenziali (password solide e lunghe, usare una mail secondaria, verifica in due passaggi e via discorrendo).
Redmond, nel suo rapporto mensile Microsoft 365 Defender pubblicato il mese scorso, ha descritto l’avversario come un gruppo motivato finanziariamente attivo almeno dal 2021.
“Storm-0539 effettua un’ampia ricognizione delle organizzazioni bersaglio al fine di creare esche di phishing convincenti e rubare credenziali e token utente per l’accesso iniziale“, ha dichiarato Redmond, aggiungendo che “L’autore è esperto nei provider cloud e sfrutta risorse dai servizi cloud dell’organizzazione bersaglio per attività post-compromissione.”
La divulgazione arriva giorni dopo che l’azienda ha annunciato di aver ottenuto un’ordinanza del tribunale per sequestrare l’infrastruttura di un gruppo di cybercriminali vietnamiti chiamato Storm-1152, che vendeva accesso a circa 750 milioni di account Microsoft fraudolenti e strumenti per eludere la verifica dell’identità per altre piattaforme tecnologiche.
All’inizio di questa settimana, Microsoft ha anche avvertito che diversi attori minacciosi stanno abusando delle applicazioni OAuth per automatizzare crimini informatici motivati finanziariamente, come la coimpromissione di indirizzi di posta elettronica aziendali (BEC), phishing, campagne di spam su larga scala e per distribuire macchine virtuali per estrarre criptovalute in modo illecito.
Come prevenire un attacco come quello di Storm-0539
Per proteggersi da attacchi come quelli descritti nell’articolo, è possibile adottare diverse misure di sicurezza. Ecco alcune raccomandazioni:
- Sensibilizzazione degli utenti: Educazione degli utenti riguardo alle minacce informatiche e alla consapevolezza sul phishing; avvisare gli utenti di non cliccare su link sospetti o fornire informazioni personali tramite email o SMS non verificate.
- Autenticazione a due fattori (MFA): Implementare l’autenticazione a due fattori o a più fattori per aumentare la sicurezza dell’accesso alle risorse; controllare regolarmente e attentamente le registrazioni dei dispositivi autorizzati.
- Monitoraggio delle attività anomale: Implementare soluzioni di monitoraggio delle attività degli utenti per individuare comportamenti anomali o accessi non autorizzati; utilizzare sistemi di analisi comportamentale per identificare attività insolite come la classica mail che ti arriva quando qualcuno cerca di entrare nel tuo profilo.
- Aggiornamenti e patch: Mantenere tutti i sistemi e le applicazioni aggiornati con le ultime patch di sicurezza per rimediare alle vulnerabilità conosciute, cosa che entra in testa a poche persone.
- Gestione delle credenziali: come accennato prima, implementare politiche robuste di gestione delle credenziali, compreso il cambio periodico delle password; utilizzare password complesse e autenticazione forte, magari non il nome di tua figlia o di un tuo famigliare, per dire.
