Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Microsoft 365 Sotto Attacco! Spraying Password sui sistemi legacy da Una Botnet di 130.000 Dispositivi

Redazione RHC : 26 Febbraio 2025 07:17

Specialisti di SecurityScorecard loro segnalano , un’enorme botnet composta da oltre 130.000 dispositivi compromessi sta conducendo attacchi di password spraying sugli account Microsoft 365 in tutto il mondo. L’attacco prende di mira il meccanismo di autenticazione legacy Basic Authentication (Basic Auth), consentendo agli aggressori di aggirare l’autenticazione a più fattori (MFA).

I criminali informatici utilizzano credenziali rubate tramite un keylogger. L’attacco viene eseguito tramite tentativi di accesso non interattivi tramite Basic Auth, che consente agli aggressori di eludere il sistema di sicurezza.

Gli esperti avvertono che le organizzazioni che si affidano esclusivamente al monitoraggio degli accessi interattivi restano vulnerabili. L’accesso non interattivo, spesso utilizzato per connessioni di servizi e protocolli legacy (ad esempio POP, IMAP, SMTP), nella maggior parte dei casi non richiede la conferma MFA. Nonostante Microsoft abbia gradualmente eliminato Basic Auth, il metodo è ancora abilitato in alcuni ambienti aziendali, il che lo rende un bersaglio interessante per gli attacchi.

Porte utilizzate per il controllo delle botnet (SecurityScorecard)

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Basic Auth viene utilizzato per attaccare con forza bruta gli account con password comunemente utilizzate (o trapelate). Se la password viene selezionata correttamente, l’MFA non viene attivato, il che consente agli hacker criminali di accedere al tuo account senza ulteriori conferme. Questo stesso meccanismo consente di aggirare i criteri di accesso condizionale, rendendo l’attacco praticamente invisibile.

Le credenziali compromesse possono consentire agli aggressori di accedere a servizi legacy che non supportano MFA o di utilizzare i dati per ulteriori attacchi di phishing allo scopo di impossessarsi completamente degli account. I segnali degli attacchi possono essere trovati nei log degli ID Entra. Tra i segnali rientrano un aumento dei tentativi di accesso non interattivi, molteplici tentativi di autorizzazione non riusciti da diversi indirizzi IP e la presenza dell’agente “fasthttp” nei log.

I ricercatori ipotizzano che la botnet possa essere collegata a gruppi provenienti dalla Cina, anche se non ci sono ancora informazioni definitive. L’attacco è scalabile distribuendo i tentativi di accesso su un numero enorme di indirizzi IP, rendendo la botnet difficile da rilevare e bloccare.

La botnet è controllata tramite 6 server C2 situati nell’infrastruttura del provider americano Shark Tech e il traffico passa attraverso gli hosting UCLOUD HK (Hong Kong) e CDS Global Cloud (Cina). I server C2 sono basati su Apache Zookeeper e Kafka e il fuso orario del sistema è impostato su Asia/Shanghai. I registri di uptime mostrano che la botnet è attiva da dicembre 2024.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...

Criminal Hacker contro Anziani! Arriva Datzbro: Facebook e smartphone nel mirino
Di Redazione RHC - 03/10/2025

Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...

Oltre lo schermo: l’evento della Polizia Postale per una vita sana oltre i social
Di Marcello Filacchioni - 03/10/2025

La Community di Red Hot Cyber ha avuto l’opportunità di partecipare a “Oltre lo schermo”, l’importante iniziativa della Polizia Postale dedicata ai giovani del 2 ottobre, con l’obiettivo di...

Ti offrono 55.000 euro per l’accesso al tuo Account dell’ufficio. Cosa dovresti fare?
Di Redazione RHC - 03/10/2025

Il giornalista della BBC Joe Tidy si è trovato in una situazione solitamente nascosta nell’ombra della criminalità informatica. A luglio, ha ricevuto un messaggio inaspettato sull’app di messagg...

Allarme CISA: il bug Sudo colpisce Linux e Unix! Azione urgente entro il 20 ottobre
Di Redazione RHC - 03/10/2025

Il Cyberspace and Infrastructure Security Center (CISA), ha recentemente inserito la vulnerabilità critica nell’utility Sudo al suo elenco KEV (Actively Exploited Vulnerabilities ). Questo di fatto...