{"id":25762,"date":"2025-02-06T13:22:39","date_gmt":"2025-02-06T21:22:39","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2025\/02\/06\/news-19485\/"},"modified":"2025-02-06T13:22:39","modified_gmt":"2025-02-06T21:22:39","slug":"news-19485","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2025\/02\/06\/news-19485\/","title":{"rendered":"Sophos MDR intercetta due campagne di ransomware che utilizzano l&#8221;email bombing&#8221; e il &#8220;vishing&#8221; di Microsoft Teams"},"content":{"rendered":"<p><img decoding=\"async\" src=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2025\/01\/emailbomb.jpg\"\/><\/p>\n<p><strong>Credit to Author: Giusy Martin| Date: Thu, 23 Jan 2025 07:13:28 +0000<\/strong><\/p>\n<div class=\"entry-content lg:prose-lg mx-auto prose max-w-4xl\">\n<p>Il Managed Detection and Response (MDR) di Sophos X-Ops sta rispondendo attivamente a due gruppi distinti di aggressori che hanno utilizzato le funzionalit\u00e0 della piattaforma Office 365 di Microsoft per accedere a organizzazioni mirate con il probabile obiettivo di rubare dati e distribuire ransomware.<\/p>\n<p>Sophos MDR ha iniziato a indagare su queste due attivit\u00e0 diverse in risposta agli incidenti verificatisi presso i clienti nei mesi di novembre e dicembre 2024. Sophos sta monitorando queste minacce con i codici STAC5143 e STAC5777. Entrambi gli aggressori hanno gestito i propri tenant di servizi Microsoft Office 365 come parte dei loro attacchi e hanno sfruttato una configurazione predefinita di Microsoft Teams che permette agli utenti di domini esterni di avviare chat o riunioni con utenti interni.<\/p>\n<p>STAC5777 si sovrappone a un gruppo di minacce precedentemente <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/05\/15\/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware\/\">identificato da Microsoft come Storm-1811<\/a>. STAC5143 \u00e8 un cluster di minacce non segnalato in precedenza che copia il playbook di Storm-1811 e che presenta possibili collegamenti all&#8217;aggressore noto come FIN7, Sangria Tempest o Carbon Spider.<\/p>\n<p>Pubblichiamo questo report approfondito su entrambi i cluster di minacce per aiutare gli amministratori di sistema a rilevare e bloccare queste minacce continue e per sensibilizzare le organizzazioni che utilizzano la piattaforma Office 365 sulla diffusione di queste tattiche. Negli ultimi tre mesi, Sophos MDR ha osservato pi\u00f9 di 15 incidenti che coinvolgono queste tattiche, la met\u00e0 dei quali si sono verificati nelle ultime due settimane.<\/p>\n<p>Le tattiche pi\u00f9 comuni includono:<\/p>\n<ul>\n<li>-Email-bombing: invio mirato di grandi quantit\u00e0 di messaggi di posta elettronica spam (fino a 3.000 in meno di un&#8217;ora) per sovraccaricare le caselle di posta elettronica di Outlook di alcuni individui all&#8217;interno dell&#8217;organizzazione e creare un senso di urgenza;<\/li>\n<li>Invio di messaggi Teams ed effettuazione di chiamate vocali e video Teams da un&#8217;istanza di Office 365 controllata dall&#8217;aggressore a dipendenti mirati, spacciandosi per un servizio di assistenza tecnica dell&#8217;organizzazione.<\/li>\n<li>Si utilizzano gli strumenti di controllo remoto di Microsoft, sia Quick Assist che la condivisione dello schermo di Teams, per prendere il controllo del computer della vittima e installare malware.<\/li>\n<\/ul>\n<div class=\"sharedaddy sd-sharing-enabled\">\n<div class=\"robots-nocontent sd-block sd-social sd-social-icon-text sd-sharing\">\n<h3 class=\"sd-title\">Share this:<\/h3>\n<div class=\"sd-content\">\n<ul>\n<li class=\"share-mastodon\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-mastodon-959391\" class=\"share-mastodon sd-button share-icon\" href=\"https:\/\/news.sophos.com\/it-it\/2025\/01\/23\/sophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams\/?share=mastodon\" target=\"_blank\" title=\"Click to share on Mastodon\" ><span>Mastodon<\/span><\/a><\/li>\n<li class=\"share-bluesky\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-bluesky-959391\" class=\"share-bluesky sd-button share-icon\" href=\"https:\/\/news.sophos.com\/it-it\/2025\/01\/23\/sophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams\/?share=bluesky\" target=\"_blank\" title=\"Click to share on Bluesky\" ><span>Bluesky<\/span><\/a><\/li>\n<li class=\"share-reddit\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-reddit sd-button share-icon\" href=\"https:\/\/news.sophos.com\/it-it\/2025\/01\/23\/sophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams\/?share=reddit\" target=\"_blank\" title=\"Click to share on Reddit\" ><span>Reddit<\/span><\/a><\/li>\n<li class=\"share-linkedin\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-linkedin-959391\" class=\"share-linkedin sd-button share-icon\" href=\"https:\/\/news.sophos.com\/it-it\/2025\/01\/23\/sophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams\/?share=linkedin\" target=\"_blank\" title=\"Click to share on LinkedIn\" ><span>LinkedIn<\/span><\/a><\/li>\n<li><a href=\"#\" class=\"sharing-anchor sd-button share-more\"><span>More<\/span><\/a><\/li>\n<li class=\"share-end\"><\/li>\n<\/ul>\n<div class=\"sharing-hidden\">\n<div class=\"inner\" style=\"display: none;\">\n<ul>\n<li class=\"share-tumblr\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-tumblr sd-button share-icon\" href=\"https:\/\/news.sophos.com\/it-it\/2025\/01\/23\/sophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams\/?share=tumblr\" target=\"_blank\" title=\"Click to share on Tumblr\" ><span>Tumblr<\/span><\/a><\/li>\n<li class=\"share-pocket\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-pocket sd-button share-icon\" href=\"https:\/\/news.sophos.com\/it-it\/2025\/01\/23\/sophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams\/?share=pocket\" target=\"_blank\" title=\"Click to share on Pocket\" ><span>Pocket<\/span><\/a><\/li>\n<li class=\"share-print\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-print sd-button share-icon\" href=\"https:\/\/news.sophos.com\/it-it\/2025\/01\/23\/sophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams\/#print\" target=\"_blank\" title=\"Click to print\" ><span>Print<\/span><\/a><\/li>\n<li class=\"share-email\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-email sd-button share-icon\" href=\"mailto:?subject=%5BShared%20Post%5D%20Sophos%20MDR%20intercetta%20due%20campagne%20di%20ransomware%20che%20utilizzano%20l%22email%20bombing%22%20e%20il%20%22vishing%22%20di%20Microsoft%20Teams&#038;body=https%3A%2F%2Fnews.sophos.com%2Fit-it%2F2025%2F01%2F23%2Fsophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams%2F&#038;share=email\" target=\"_blank\" title=\"Click to email a link to a friend\" data-email-share-error-title=\"Do you have email set up?\" data-email-share-error-text=\"If you&#039;re having problems sharing via email, you might not have email set up for your browser. You may need to create a new email yourself.\" data-email-share-nonce=\"457c283d74\" data-email-share-track-url=\"https:\/\/news.sophos.com\/it-it\/2025\/01\/23\/sophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams\/?share=email\"><span>Email<\/span><\/a><\/li>\n<li class=\"share-end\"><\/li>\n<\/ul>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div><\/div>\n<p><a href=\"https:\/\/news.sophos.com\/it-it\/2025\/01\/23\/sophos-mdr-intercetta-due-campagne-di-ransomware-che-utilizzano-lemail-bombing-e-il-vishing-di-microsoft-teams\/\" target=\"bwo\" >http:\/\/feeds.feedburner.com\/sophos\/dgdY<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p><img decoding=\"async\" src=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2025\/01\/emailbomb.jpg\"\/><\/p>\n<p><strong>Credit to Author: Giusy Martin| Date: Thu, 23 Jan 2025 07:13:28 +0000<\/strong><\/p>\n<p>Sophos MDR ha inoltre identificato un nuovo cluster di minacce che si rif\u00e0 allo schema di Storm-1811 e un&#8217;attivit\u00e0 pi\u00f9 intensa di quella originale collegata al ransomware Black Basta<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[10378,10377],"tags":[26001,129,21766,12036,32159,18076,32327,32328,32329,24552,32330,32331,25357,16771],"class_list":["post-25762","post","type-post","status-publish","format-standard","hentry","category-security","category-sophos","tag-black-basta","tag-featured","tag-fin7","tag-java-malware","tag-legitimate-service-abuse","tag-microsoft-office-365","tag-python-malware","tag-quick-assist","tag-remote-machine-management","tag-security-operations","tag-stac5143","tag-stac5777","tag-teams","tag-threat-research"],"_links":{"self":[{"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/25762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/comments?post=25762"}],"version-history":[{"count":0,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/25762\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/media?parent=25762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/categories?post=25762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/tags?post=25762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}