Security

Rilevamento lavoratori IT infiltrati con Defender

3 min di lettura

Riepilogo

Microsoft ha illustrato strategie di rilevamento per identificare attori di minaccia allineati alla Corea del Nord che si spacciano per assunzioni IT da remoto per infiltrarsi nelle organizzazioni. Le indicazioni si concentrano sulla correlazione dei segnali di HR SaaS, identità, email, conferenze e Microsoft 365, così che i team di sicurezza e HR possano individuare candidati sospetti prima e dopo l’onboarding.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft avverte le organizzazioni di una minaccia in crescita: falsi lavoratori IT da remoto che usano identità rubate o fabbricate per essere assunti e ottenere accesso legittimo ai sistemi aziendali. Per i team di sicurezza che gestiscono Microsoft 365, Defender e integrazioni SaaS, questo è importante perché l’attacco inizia nei normali processi HR e può rapidamente trasformarsi in un incidente di sicurezza delle identità e dei dati.

Cosa c’è di nuovo

Le più recenti indicazioni di Microsoft spiegano come i defender possano rilevare questa attività lungo l’intero ciclo di assunzione, con Jasper Sleet citato come esempio noto di questa tattica.

Rilevamento pre-selezione in Workday

Microsoft ha osservato un uso sospetto degli endpoint di Workday Recruiting Web Service esposti tramite siti di carriera esterni. I comportamenti principali includono:

  • Accesso ripetuto agli endpoint API hrrecruiting/*
  • Chiamate alle API di candidatura, curriculum e questionari
  • Più account esterni che mostrano lo stesso schema di accesso ripetitivo
  • Attività proveniente da infrastrutture note di threat actor

Con il connettore Workday di Microsoft Defender for Cloud Apps, le organizzazioni possono tracciare queste chiamate API, identificare account esterni e confrontare l’attività con la threat intelligence.

Indagine nella fase di selezione

Durante i colloqui e la gestione dei documenti, i defender dovrebbero correlare ulteriori segnali come:

  • Scambi email sospetti con i team di assunzione
  • Messaggi Teams esterni da indirizzi IP o account rischiosi
  • Attività in Zoom o Cisco Webex tramite i connettori di Defender for Cloud Apps
  • Attività DocuSign relative a lettere di offerta provenienti da fonti sospette

Questo aiuta i team di sicurezza e HR a segnalare candidati fraudolenti nelle prime fasi del processo.

Monitoraggio di identità e SaaS dopo l’assunzione

Una volta assunta, la persona rappresenta un rischio maggiore perché l’attore riceve un account legittimo. Microsoft ha osservato casi in cui gli accessi Workday di nuovi assunti e le modifiche al payroll provenivano da infrastrutture malevole note. Dopo l’onboarding, i defender dovrebbero monitorare:

  • Avvisi di impossible travel sugli account dei nuovi assunti
  • Accessi da proxy anonimi o da località insolite
  • Attività di ricerca e download in Teams, SharePoint, OneDrive ed Exchange Online
  • Schemi insoliti di accesso ai dati durante le prime settimane o mesi di lavoro

Perché è importante per gli amministratori IT

Non si tratta solo di un problema HR. Un’assunzione fraudolenta può aggirare molte difese perimetrali tradizionali perché riceve credenziali valide e accessi approvati. I team di sicurezza hanno bisogno di visibilità su sistemi HR, Entra ID, Microsoft 365 e strumenti di collaborazione di terze parti per intercettare il comportamento in anticipo.

Prossimi passaggi consigliati

  • Esaminare la telemetria API di Workday per attività ripetute hrrecruiting/*
  • Abilitare e verificare i connettori di Defender for Cloud Apps per Workday, Zoom, Webex e DocuSign dove applicabile
  • Eseguire attività di hunting su comunicazioni sospette che coinvolgono candidati e account esterni
  • Monitorare attentamente le identità dei nuovi assunti per impossible travel, uso di proxy e accessi anomali a Microsoft 365
  • Coordinare le indagini tra HR e sicurezza per eventi di onboarding sospetti

Le organizzazioni con programmi di assunzione da remoto dovrebbero considerare i flussi di reclutamento come parte della propria superficie di attacco alle identità e includerli nelle strategie di threat hunting e rilevamento.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team and Microsoft Threat Intelligence
Microsoft DefenderWorkdayremote IT workersidentity securityDefender for Cloud Apps

Articoli correlati

Security

Prevenzione cyberattacchi opportunistici: guida Microsoft

Microsoft invita le organizzazioni a rendere più difficili i cyberattacchi opportunistici eliminando le credenziali, riducendo le superfici di attacco pubbliche e standardizzando modelli di piattaforma sicuri. Le indicazioni sono particolarmente rilevanti per i team che gestiscono workload Azure, Dynamics 365 e Power Platform su larga scala, dove architetture incoerenti e segreti esposti possono facilitare il movimento laterale degli attaccanti.

Security

Attacco di impersonificazione Teams cross-tenant

Microsoft ha descritto una catena di intrusione gestita da operatori umani in cui gli attaccanti usano chat Microsoft Teams cross-tenant per impersonare il personale helpdesk e indurre gli utenti a concedere accesso remoto tramite strumenti come Quick Assist. La campagna è rilevante perché combina collaborazione legittima, supporto remoto e strumenti amministrativi per consentire movimento laterale, persistenza ed esfiltrazione dei dati, il tutto apparendo come normale attività IT.

Security

{{Microsoft Defender predictive shielding blocca attacchi AD}}

Microsoft ha spiegato come predictive shielding in Defender possa contenere la compromissione di un dominio Active Directory limitando gli account ad alto privilegio esposti prima che gli aggressori riutilizzino credenziali rubate. La funzionalità aiuta i team di sicurezza a ridurre il movimento laterale e a colmare il gap di risposta durante attacchi rapidi basati sull’identità.

Security

Intrusione macOS di Sapphire Sleet: insight chiave

Microsoft Threat Intelligence ha illustrato una campagna mirata a macOS di Sapphire Sleet che usa social engineering e falsi aggiornamenti software invece di sfruttare vulnerabilità. La catena di attacco si basa sull’esecuzione avviata dall’utente di AppleScript e Terminal per aggirare le protezioni native di macOS, rendendo particolarmente importanti difese stratificate, consapevolezza degli utenti e rilevamento degli endpoint.

Security

Strategia di inventario crittografico per il quantum

Microsoft invita le organizzazioni a considerare l’inventario crittografico come il primo passo pratico verso la preparazione post-quantum. L’azienda delinea un ciclo continuo di Cryptography Posture Management per aiutare i team di sicurezza a individuare, valutare, prioritizzare e correggere i rischi crittografici in codice, reti, runtime e storage.

Security

Risposta agli incidenti AI: cosa cambia per la sicurezza

Microsoft afferma che i principi tradizionali di incident response continuano ad applicarsi ai sistemi AI, ma i team devono adattarsi al comportamento non deterministico, ai danni più rapidi su larga scala e a nuove categorie di rischio. L’azienda evidenzia la necessità di una migliore telemetria AI, piani di risposta cross-funzionali e remediation in più fasi per contenere rapidamente i problemi mentre vengono sviluppate correzioni a lungo termine.