Campagna di Attacco “KnockKnock” Office 365 

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una campagna di attacco volta alla compromissione di account di posta gestiti tramite servizi cloud Office 365. L’attacco è noto con il nome “KnockKnock Attack”  ed in base alle informazioni disponibili è caratterizzato da tentativi di accesso ad account di sistema all’interno degli ambienti Office 365. 

Le analisi svolte da terze parti indicano che l’attacco è caratterizzato dall’impiego di una botnet di modeste dimensioni utilizzata per l’esecuzione di un numero di tentativi di login limitato in modo da bypassare i tradizionali sistemi di rilevamento di attacchi brute-force. Gli account oggetto di questo attacco risultano inoltre legati ad utenze tecniche, utenze di automazione, di marketing o di servizio in generale.

Gli attacchi sono stati registrati sin da Maggio 2017 e risultano correntemente attivi, al momento le attività illecite sono state osservate da 83 IPs principalmente registrati presso Provider localizzati in Cina, ed in minoranza in nazioni come Russia, Brasile, US, Argentina, Gabon, Azerbaijan e Malesia.

A seguito della compromissione delle credenziali dell’account, gli attaccanti configurano redirezioni dei flussi email tramite apposite regole e tentano propagazioni all’interno delle altre caselle email facendo leva su messaggi di phishing originati dagli stessi account compromessi.

Per questa ragione, Yoroi consiglia di avvisare i vostri utenti al fine di segnalare eventuali email “anomale” provenienti da account tecnici o di servizio, di effettuare controlli sui login relativi alle utenze Office 365 per appurare l’assenza di accessi potenzialmente riconducibili alla campagna di attacco in oggetto e di abilitare l’auditing degli eventi relativi alle attività “user signed in” all’interno del “Security and Compliance Center” di Office 365. Di seguito riferimenti utili:

• https://support.office.com/en-us/article/Search-the-audit-log-in-the-Office-365-Security-Compliance-Center-0d4d0f35-390b-4518-800e-0c7ec95e946c
• https://blogs.technet.microsoft.com/exovoice/2017/03/14/how-to-see-the-ip-addresses-from-where-your-office-365-users-are-accessing-owa/

Gli analisti Yoroi stanno programmando attività di controllo per i Clienti  MATP per i quali è noto l’utilizzo di questa tecnologia, in caso contrario vi preghiamo di contattare i Vostri analisti di riferimento tramite i consueti canali.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index