Attacco hacker a Microsoft: hanno abusato delle app OAuth per violare gli account e-mail aziendali
Martedì scorso Microsoft ha dichiarato di aver preso provvedimenti per disabilitare i falsi account Microsoft Partner Network (MPN). Questi sono stati utilizzati per creare applicazioni OAuth dannose nell’ambito di una campagna malevola volta a violare gli ambienti cloud delle organizzazioni e a rubare le e-mail.
Le applicazioni create da questi attori fraudolenti sono state poi utilizzate in una campagna di phishing. Portando utenti a concedere le autorizzazioni alle applicazioni fraudolente. Questa campagna di phishing ha preso di mira principalmente gli utenti nel Regno Unito e in Irlanda.
Il phishing è un attacco di ingegneria sociale in cui gli utenti vengono indotti a concedere autorizzazioni ad applicazioni dannose. I dati che vengono raccolti, possono essere utilizzate come armi per ottenere l’accesso a servizi cloud legittimi e a dati sensibili dell’utente.
Dichiarazione di Microsoft in merito all’attacco hacker
Dopo l’attacco hacker a Microsoft Il produttore di Windows ha dichiarato di essere venuto a conoscenza della campagna il 15 dicembre 2022. Da allora ha avvisato i clienti interessati tramite e-mail. Appena dopo l’accaduto, Microsoft ha implementato ulteriori misure di sicurezza per migliorare il processo di selezione associato al Microsoft Cloud Partner Program. (ex MPN).
La rivelazione coincide con un rapporto pubblicato da Proofpoint su come gli attori delle minacce abbiano sfruttato con successo lo status di “editore verificato” di Microsoft per infiltrarsi negli ambienti cloud delle organizzazioni.
È stato anche rilevato che le app OAuth dannose avevano autorizzazioni delegate di ampia portata come:
- la lettura delle e-mail
- la regolazione delle impostazioni della casella di posta elettronica
- l’accesso a file e altri dati collegati all’account dell’utente.
Dalle prime indagini sembrerebbe che gli hacker siano riusciti ad imitando marchi popolari, è riuscita a ingannare Microsoft per ottenere il badge blu di verifica.
Ha spiegato la società
L’attore ha utilizzato account partner fraudolenti per aggiungere un editore verificato alle registrazioni di app OAuth create in Azure AD
Inoltre è stato affermato che, a differenza di una precedente campagna che comprometteva gli editori verificati Microsoft esistenti per sfruttare i privilegi delle app OAuth. Gli ultimi attacchi sono progettati per impersonare editori legittimi per diventare verificati e distribuire le app illegali.
Come è avvenuto l’attacco
Questi attacchi, che sono stati osservati per la prima volta il 6 dicembre 2022. Gli utilizzato versioni sosia di app legittime come Zoom per ingannare gli obiettivi e autorizzare l’accesso facilitando il furto di dati. Tra i bersagli c’erano anche i settori della finanza, del marketing, dei manager e dei dirigenti di alto livello.
Tra i bersagli presi di mira ci sono Single Sign-on (SSO), e Meeting nel tentativo di mascherarsi da software per videoconferenze. Tutte e tre le app, create da tre editori diversi, hanno preso di mira le stesse aziende e hanno sfruttato la stessa infrastruttura controllata dagli aggressori.
L’attacco hacker si è conclusa il 27 dicembre 2022, dopo che Proofpoint ha informato Microsoft dell’attacco il 20 dicembre.
Non è la prima volta che app OAuth fasulle vengono utilizzate per colpire i servizi cloud di Microsoft. Nel gennaio 2022, infatti Proofpoint ha descritto un’altra attività di minaccia, denominata OiVaVoii, che prendeva di mira dirigenti di alto livello per prendere il controllo dei loro account.
