Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Luca Galuppi : 8 Novembre 2024 16:24
Un’ombra inquietante si aggira nei sistemi aziendali: la campagna di attacco VEILDrive sta violando l’infrastruttura cloud di Microsoft, sfruttando i suoi stessi servizi legittimi per sfuggire a qualsiasi tentativo di rilevamento. Microsoft Teams, SharePoint, Quick Assist e persino OneDrive sono finiti nelle mani dei cybercriminali, trasformati in potenti strumenti per diffondere malware senza destare sospetti.
L’azienda di cybersecurity israeliana Hunters, che ha scoperto l’operazione a settembre 2024, ha lanciato l’allarme: VEILDrive rappresenta una minaccia strategica per infrastrutture critiche, come dimostrato dall’attacco che ha colpito una grande organizzazione americana, identificata come “Org C”. Senza svelare il nome dell’azienda vittima, Hunters ha descritto un attacco sofisticato, iniziato già ad agosto, culminato con l’installazione di un malware basato su Java, progettato per connettersi ai server Command and Control dei cybercriminali tramite OneDrive.
Come può un attacco così sofisticato passare inosservato? La risposta è tanto geniale quanto spaventosa: VEILDrive sfrutta la fiducia che i servizi Microsoft SaaS godono nei sistemi aziendali. Questi attaccanti non hanno creato nuovi strumenti, non hanno installato software non riconosciuti: hanno usato i servizi stessi di Microsoft per stabilire un livello di accesso continuativo, discreto e pericolosamente letale.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
In una manovra di inganno senza precedenti, VEILDrive ha inviato messaggi tramite Teams a quattro dipendenti di “Org C”, impersonando membri dell’IT e richiedendo accesso remoto con Quick Assist. Ma la vera genialità dell’attacco sta nell’uso di un account già compromesso di un’altra azienda, “Org A”. Così, invece di generare sospetti con account falsi, hanno usato quello di una vittima precedente per insinuarsi nella nuova rete.
Il tallone d’Achille sfruttato in questo attacco è una funzionalità di Microsoft Teams che consente la comunicazione diretta tra utenti di diverse organizzazioni tramite “Accesso Esterno”. Una funzione apparentemente innocua, ma che ha fornito un varco per i malintenzionati. Usare un servizio aziendale per lanciare un attacco contro un’altra azienda: un meccanismo di compromissione subdolo, che evidenzia come le politiche di fiducia tra piattaforme possano essere un’arma a doppio taglio.
Mentre il silenzio di Microsoft su questo fronte lascia spazio a preoccupazioni sempre più angoscianti, la campagna VEILDrive apre gli occhi su una realtà che non possiamo più ignorare. Nessuna infrastruttura, nessun servizio Cloud, per quanto fidato, può considerarsi immune. La domanda non è più “se” si verrà colpiti, ma “quando” e con quale sofisticazione.
VEILDrive ci lancia un segnale forte e chiaro: l’era della sicurezza garantita è finita. Le aziende devono abbandonare ogni illusione di protezione assoluta e riconoscere che oggi anche i servizi più fidati possono essere usati contro di loro.
Luca GaluppiSabato 3 maggio, un post pubblicato su un canale Telegram legato al gruppo “Mr Hamza” ha rivendicato un cyberattacco ai danni del Ministero della Difesa italiano. Il messaggio, scritto i...
Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chia...
Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
