Redazione RHC : 27 Giugno 2025 08:07
Una campagna di phishing sofisticata che ha colpito oltre 70 organizzazioni sfruttando la funzione Direct Send di Microsoft 365. La campagna, iniziata a maggio 2025 e che ha mostrato un’attività costante negli ultimi due mesi, colpisce principalmente organizzazioni con sede negli Stati Uniti in diversi settori e luoghi.
Questo nuovo metodo di attacco, riportano i ricercatori di Varonis, consente agli attori delle minacce di impersonare utenti interni e consegnare email di phishing senza dover compromettere un account, aggirando i controlli di sicurezza email tradizionali che in genere esaminano le comunicazioni esterne. Ciò che rende questo attacco particolarmente preoccupante è lo sfruttamento di una funzione di Microsoft 365 poco conosciuta, progettata per comunicazioni interne legittime ma priva di adeguate protezioni di autenticazione.
In questi attacchi, gli attori delle minacce utilizzano la funzionalità Direct Send di M365 per colpire singole organizzazioni con messaggi di phishing che ricevono un esame molto meno rigoroso rispetto alla normale email in entrata. Direct Send è una funzione in Exchange Online progettata per consentire ai dispositivi interni come stampanti e applicazioni di inviare email all’interno di un tenant Microsoft 365 senza richiedere autenticazione. La funzione utilizza un host intelligente con un formato prevedibile: tenantname.mail.protection.outlook.com.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La falla di sicurezza critica risiede nell’assenza totale di requisiti di autenticazione. Gli aggressori hanno bisogno solo di pochi dettagli disponibili pubblicamente per eseguire le loro campagne: il dominio dell’organizzazione bersaglio e indirizzi di destinatari validi. La squadra di forensics di Varonis ha osservato gli aggressori utilizzare comandi PowerShell per inviare email truccate tramite l’host intelligente. Queste email sembrano provenire da indirizzi interni legittimi nonostante siano inviate da attori esterni non autenticati.
Il processo di attacco è notevolmente semplice. Una volta che gli attori delle minacce identificano il dominio e i destinatari validi, possono inviare email truccate che sembrano provenire dall’interno dell’organizzazione senza mai accedere o entrare nel tenant. Questa semplicità rende Direct Send un vettore attraente e a basso sforzo per campagne di phishing sofisticate.
RedazioneSarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
