Redazione RHC : 17 Febbraio 2025 08:16
Il Microsoft Threat Intelligence Center (MSTIC) ha scoperto una sofisticata campagna di phishing in corso che sfrutta gli inviti di Microsoft Teams per ottenere l’accesso non autorizzato agli account utente e ai dati sensibili.
La campagna, attribuita al gruppo Storm-2372, è attiva dall’agosto 2024 e ha preso di mira un’ampia gamma di settori, tra cui governo, difesa, sanità, tecnologia ed energia in Europa, Nord America, Africa e Medio Oriente.
Il metodo di Storm-2372 si basa sul phishing del codice del dispositivo, una tecnica in cui l’autore della minaccia utilizza falsi inviti a riunioni per indurre gli utenti a fornire token di autenticazione.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Dopo aver ricevuto un invito, gli utenti ignari vengono reindirizzati a una pagina di autenticazione legittima e invitati a immettere un codice dispositivo generato dall’aggressore.
I token rubati consentono all’aggressore di accedere agli account della vittima senza richiedere una password , garantendo l’accesso a e-mail sensibili, storage cloud e altri servizi.
Una volta verificata la violazione iniziale, si osserva che Storm-2372 si sposta lateralmente all’interno delle reti compromesse inviando ulteriori e-mail di phishing dagli account delle vittime.
L’aggressore ha sfruttato anche la Graph API di Microsoft per cercare informazioni sensibili, estraendo dati utilizzando parole chiave come “password”, “admin” e “credenziali”.
Tra i recenti aggiornamenti alle tattiche del gruppo rientra l’uso dell’ID client di Microsoft Authentication Broker per registrare i dispositivi controllati dagli attori, consentendo un accesso persistente e un’ulteriore escalation.
Microsoft ha collegato Storm-2372 agli interessi dello Stato russo a causa dei suoi schemi di attacco e delle sue tecniche operative.
RedazioneCentinaia di milioni di utenti di smartphone hanno dovuto affrontare il blocco dei siti web pornografici e l’obbligo di verifica dell’età. Nel Regno Unito è in vigore la verifica obbligatoria de...
Dalle fragilità del WEP ai progressi del WPA3, la sicurezza delle reti Wi-Fi ha compiuto un lungo percorso. Oggi, le reti autodifensive rappresentano la nuova frontiera: sistemi intelligenti capaci d...
Siamo ossessionati da firewall e crittografia. Investiamo miliardi in fortezze digitali, ma le statistiche sono inesorabili: la maggior parte degli attacchi cyber non inizia con un difetto nel codice,...
Un raro ritrovamento risalente ai primi giorni di Unix potrebbe riportare i ricercatori alle origini stesse del sistema operativo. Un nastro magnetico etichettato “UNIX Original From Bell Labs V4 (V...
Il 9 novembre ha segnato il 21° anniversario di Firefox 1.0. Nel 2004, è stata la prima versione stabile del nuovo browser di Mozilla, che si è subito posizionato come un’alternativa semplice e s...
