Security

Attacco di impersonificazione Teams cross-tenant

3 min di lettura

Riepilogo

Microsoft ha descritto una catena di intrusione gestita da operatori umani in cui gli attaccanti usano chat Microsoft Teams cross-tenant per impersonare il personale helpdesk e indurre gli utenti a concedere accesso remoto tramite strumenti come Quick Assist. La campagna è rilevante perché combina collaborazione legittima, supporto remoto e strumenti amministrativi per consentire movimento laterale, persistenza ed esfiltrazione dei dati, il tutto apparendo come normale attività IT.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft ha pubblicato una nuova analisi sulle minacce che descrive come gli attaccanti stiano abusando delle chat esterne di Microsoft Teams per impersonare personale IT o helpdesk. Per i team IT e di sicurezza, questo è un importante promemoria: il phishing moderno e il social engineering non iniziano più solo con l’email, ma possono partire all’interno di strumenti di collaborazione fidati e degenerare rapidamente in una compromissione estesa dell’azienda.

Novità

Il report di Microsoft illustra un vero e proprio playbook di intrusione gestito da operatori umani che inizia con messaggi Teams cross-tenant e termina con esfiltrazione dei dati.

Catena di attacco evidenziata da Microsoft

  • Contatto iniziale via Teams: gli attaccanti si spacciano per personale di supporto usando comunicazioni Teams esterne.
  • Accesso iniziale tramite assistenza remota: le vittime vengono convinte ad avviare Quick Assist o strumenti simili di supporto remoto e ad approvare l’accesso.
  • Ricognizione e verifica: gli attaccanti controllano rapidamente privilegi utente, dettagli del sistema e livello di accesso.
  • Abuso di app fidate: vengono avviate applicazioni firmate dal vendor con moduli forniti dagli attaccanti per eseguire codice dannoso.
  • Command and control: gli attaccanti stabiliscono un accesso persistente confondendosi con la normale attività amministrativa.
  • Movimento laterale: strumenti nativi come WinRM vengono usati per spostarsi verso asset di alto valore, inclusi i domain controller.
  • Strumenti successivi: può essere distribuito software commerciale di gestione remota come Level RMM.
  • Esfiltrazione dei dati: utility come Rclone vengono usate per preparare e trasferire dati sensibili verso storage cloud esterni.

Perché è importante per gli amministratori

Questa campagna è significativa perché si basa in larga misura su strumenti legittimi Microsoft e di terze parti invece che su malware palesi. Questo rende il rilevamento più difficile e aumenta la probabilità che l’attività sembri normale supporto IT, amministrazione remota o azioni approvate dall’utente.

Il rischio maggiore non è solo la messaggistica Teams esterna in sé, ma il momento in cui un utente approva il controllo remoto. Da quel momento, gli attaccanti possono muoversi rapidamente — spesso in pochi minuti — per ottenere un accesso più ampio, distribuire strumenti e colpire infrastrutture di identità o di dominio.

Azioni consigliate

Gli amministratori dovrebbero rivedere i controlli su collaborazione, endpoint e sicurezza delle identità:

  • Rafforzare l’accesso Teams esterno e rivedere i criteri di comunicazione cross-tenant.
  • Formare gli utenti a trattare con sospetto contatti helpdesk o di sicurezza non richiesti in Teams, soprattutto nei primi messaggi.
  • Limitare o monitorare Quick Assist e altri strumenti di supporto remoto ove possibile.
  • Monitorare catene di processi sospette come QuickAssist.exe seguito da cmd.exe o PowerShell.
  • Controllare il movimento laterale che coinvolge WinRM e software di gestione remota inattesi.
  • Esaminare i segnali di esfiltrazione dei dati legati a strumenti come Rclone o a destinazioni cloud storage insolite.
  • Usare Microsoft Defender XDR per correlare telemetria di identità, endpoint e Teams e ottenere un rilevamento più tempestivo.

In sintesi

La ricerca di Microsoft mostra che le piattaforme di collaborazione fanno ormai parte del panorama attivo delle intrusioni. I team di sicurezza dovrebbero trattare l’impersonificazione via Teams e l’assistenza remota approvata dagli utenti come percorsi ad alto rischio e aggiornare di conseguenza monitoraggio, consapevolezza degli utenti e playbook di risposta.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Microsoft TeamsQuick AssistMicrosoft Defender XDRdata exfiltrationphishing

Articoli correlati

Security

{{Microsoft Defender predictive shielding blocca attacchi AD}}

Microsoft ha spiegato come predictive shielding in Defender possa contenere la compromissione di un dominio Active Directory limitando gli account ad alto privilegio esposti prima che gli aggressori riutilizzino credenziali rubate. La funzionalità aiuta i team di sicurezza a ridurre il movimento laterale e a colmare il gap di risposta durante attacchi rapidi basati sull’identità.

Security

Intrusione macOS di Sapphire Sleet: insight chiave

Microsoft Threat Intelligence ha illustrato una campagna mirata a macOS di Sapphire Sleet che usa social engineering e falsi aggiornamenti software invece di sfruttare vulnerabilità. La catena di attacco si basa sull’esecuzione avviata dall’utente di AppleScript e Terminal per aggirare le protezioni native di macOS, rendendo particolarmente importanti difese stratificate, consapevolezza degli utenti e rilevamento degli endpoint.

Security

Strategia di inventario crittografico per il quantum

Microsoft invita le organizzazioni a considerare l’inventario crittografico come il primo passo pratico verso la preparazione post-quantum. L’azienda delinea un ciclo continuo di Cryptography Posture Management per aiutare i team di sicurezza a individuare, valutare, prioritizzare e correggere i rischi crittografici in codice, reti, runtime e storage.

Security

Risposta agli incidenti AI: cosa cambia per la sicurezza

Microsoft afferma che i principi tradizionali di incident response continuano ad applicarsi ai sistemi AI, ma i team devono adattarsi al comportamento non deterministico, ai danni più rapidi su larga scala e a nuove categorie di rischio. L’azienda evidenzia la necessità di una migliore telemetria AI, piani di risposta cross-funzionali e remediation in più fasi per contenere rapidamente i problemi mentre vengono sviluppate correzioni a lungo termine.

Security

Agentic SOC Microsoft: la visione per il futuro SecOps

Microsoft delinea un modello di "agentic SOC" che combina l'interruzione autonoma delle minacce con agenti AI per accelerare le indagini e ridurre l'affaticamento da alert. L'approccio punta a spostare le operazioni di sicurezza da una risposta reattiva agli incidenti a una difesa più rapida e adattiva, dando ai team SOC più tempo per la riduzione strategica del rischio e la governance.

Security

Attacchi payroll Storm-2755 contro dipendenti canadesi

Microsoft ha illustrato una campagna Storm-2755 a scopo finanziario che prende di mira i dipendenti canadesi con attacchi di deviazione del payroll. L’attore della minaccia ha usato SEO poisoning, malvertising e tecniche adversary-in-the-middle per rubare sessioni, aggirare l’MFA legacy e modificare i dettagli del deposito diretto, rendendo l’MFA resistente al phishing e il monitoraggio delle sessioni difese essenziali.