Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=ms-graph-v2-cases

Case study per l’API di sicurezza MS Graph V2

API Produttività

MDR ha identificato un utente con otto diversi indirizzi IP, due diverse stringhe user agent con versione Chrome, e sia Windows NT che Macintosh come sistema operativo nelle stringhe user agent, tutto nella stessa sessione. Questo tipo di azione è generalmente causato da una piattaforma “Adversary-in-The-Middle” (AiTM) come Evilginx, Modlishka o Muraena, sfruttata da utenti malintenzionati che agiscono acquisendo le credenziali e i token dell’utente, per poi riprodurli con un nuovo IP, che viene utilizzato per accedere a M365 con il token o le credenziali rubate.

Dopo un’indagine meticolosa, MDR ha identificato altri sei utenti dello stesso cliente che erano stati compromessi, inclusi più utenti con regole di posta in arrivo con i seguenti attributi degni di nota:

  • MarkAsRead: quando questo parametro era vero, il messaggio e-mail veniva contrassegnato come letto. Gli utenti malintenzionati sfruttano questa tattica per nascondere la compromissione dei sistemi.
  • Name: il nome assegnato alla regola per la posta in arrivo. In questo caso, l’utente malintenzionato aveva creato il nome “s”. Di solito, gli utenti malintenzionati utilizzano nomi brevi per fare in modo che la regola per la posta in arrivo non attiri troppa attenzione.
  • SubjectOrBodyContainsWords: gli utenti malintenzionati possono usare l’attributo SubjectOrBodyContainsWords per filtrare le e-mail in modo da individuare parole chiave. In questo caso, l’utente malintenzionato filtrava i messaggi in base a parole chiave e spostava le e-mail che trovavano corrispondenza.
  • DeleteMessage: quando DeleteMessage era vero, l’e-mail veniva eliminata e l’utente finale non veniva conoscenza dell’esistenza di quell’e-mail.

Mettendo insieme tutti questi attributi, possiamo osservare che quando l’utente riceveva un’e-mail il cui oggetto o corpo del messaggio contenevano termini come “hackerato”, “phishing”, “malevolo”, “sospetto”, “frode”, “MFA” o “spoofing”, l’e-mail veniva contrassegnata come letta e successivamente eliminata. Questo nascondeva all’utente finale il fatto che i tuoi sistemi potevano essere compromessi.