Sintesi

Proseguono le campagne di spear phishing, veicolate tramite e-mail, ai danni di caselle di posta aziendali di organizzazioni nazionali – come già trattato da questo CSIRT nell’ambito del BL01/260217/CSIRT-ITA e dell’ AL01/260223/CSIRT-ITA . Gli attaccanti hanno provveduto alla compromissione di caselle di posta elettronica aziendali per poi propagare ulteriormente la campagna, verso indirizzi interni ed esterni all’organizzazione, sfruttando le stesse e-mail compromesse.

Descrizione e potenziali impatti

Proseguono le campagne di spear phishing, veicolate tramite e-mail, ai danni di caselle di posta aziendali di organizzazioni nazionali – come già trattato da questo CSIRT nell’ambito del BL01/260217/CSIRT-ITA e dell’ AL01/260223/CSIRT-ITA . Gli attaccanti hanno provveduto alla compromissione di caselle di posta elettronica aziendali per poi propagare ulteriormente la campagna, verso indirizzi interni ed esterni all’organizzazione, sfruttando le stesse e-mail compromesse.

Le analisi preliminari hanno evidenziato un invio massivo, dagli account compromessi, di ulteriori mail di phishing così caratterizzate:

Oggetto :

• FW: <NOME_ORGANIZZAZIONE_COMPROMESSA>
• I: <NOME_ORGANIZZAZIONE_COMPROMESSA>

Mittente : <CASELLA_MAIL_AZIENDALE_COMPROMESSA>

Destinatario : <CASELLA_MAIL_AZIENDALE_COMPROMESSA>

Ccn : indirizzi mail interni ed esterni all’organizzazione

Allegati : file .eml contenente la mail di phishing usata per la prima compromissione

Contenuto (in lingua inglese) :

Please see attached

Thank you

<NOME_MITTENTE>

<FIRMA_MITTENTE>

Le campagne in oggetto si caratterizzano per l’utilizzo nel campo “Destinatario” dello stesso indirizzo mittente e per l’inserimento dei reali destinatari delle mail di phishing (estratti dai contatti della casella compromessa) in “Ccn”, al fine di ingannare i filtri antispam e i meccanismi di rilevamento. Inoltre, l’e-mail inviata (Figura 1) presenta un’ulteriore e-mail (in formato .eml ) in allegato, contenente il link alla risorsa di phishing.

Tali mail contengono un messaggio col quale si comunica la condivisione di un documento, con contestuale richiesta di revisione, alla potenziale nuova vittima (Figura 2).

Qualora l’utente segua il link proposto verrà indirizzato a risorse ospitate su servizi cloud legittimi (es. Azure/Amazon) allo scopo di aumentare la credibilità del messaggio e ridurre la probabilità di rilevamento da parte dei sistemi di sicurezza. Inizialmente viene presentata all’utente una landing page contenente il presunto documento PDF da visionare (Figura 3), e un pulsante che, qualora cliccato, reindirizza su un ulteriore form di autenticazione generico.

Nel suddetto form (Figura 4) viene richiesto all’utente di completare il processo di login (inserendo anche il MFA) per visualizzare il presunto documento. Ove inserite le credenziali, un falso errore tecnico viene mostrato a schermo, al fine di minimizzare il rischio di una eventuale segnalazione immediata.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso;
• implementare e rendere mandatori meccanismi di autenticazione forte (Multi-Factor Authentication) a presidio di tutti gli account, al fine di mitigare il rischio derivante dalla compromissione delle sole password;
• effettuare una puntuale verifica delle configurazioni delle caselle di posta, con specifico riferimento all’identificazione e alla rimozione di regole di inoltro automatico o di archiviazione non esplicitamente autorizzate dall’utente;
• adottare procedure di verifica “fuori banda” (es. contatto telefonico diretto su numerazioni preesistenti) qualora la comunicazione appaia provenire da interlocutori fiduciari.

Nel caso di compromissione, provvedere, per le utenze coinvolte o sospette, alla:

• rotazione delle credenziali utente, garantendo l’adozione di criteri di complessità adeguati in linea con le policy di sicurezza vigenti;
• re-enrollment del MFA.