Nelle ultime settimane il nostro SecOps Team ha rilevato un incremento significativo di campagne di Vishing veicolate tramite Microsoft Teams, in linea con quanto avevamo già evidenziato in questo documento.
Non si tratta di semplice phishing adattato a un nuovo canale di comunicazione. Parliamo di attacchi strutturati, costruiti combinando:
- ingegneria sociale
- abuso di configurazioni cloud permissive
- utilizzo di strumenti legittimi per l’accesso remoto
- escalation progressiva verso i sistemi core
L’obiettivo finale osservato è chiaro: ottenere il controllo delle macchine aziendali, fino al Domain Controller, con il rischio concreto di compromissione dell’intera infrastruttura.
Kill Chain dell’attacco tipico (MITRE ATT&CK mapping)
1. Initial Access – Valid Accounts & Phishing (T1078 / T1566)
L’attacco inizia con una chiamata improvvisa su Teams.
Gli attaccanti si presentano come personale IT e sfruttano una configurazione spesso lasciata invariata: Teams consente di default chiamate da utenti esterni.
Questa fase combina:
- Phishing via servizio di comunicazione (T1566)
- Tentativi di raccolta credenziali → Valid Accounts (T1078)
La leva dominante è l’urgenza: un presunto aggiornamento critico di sicurezza Windows che richiede un intervento immediato.
2. Execution – Remote Services & User Execution (T1021 / T1204)
Una volta ottenuta la fiducia dell’utente, l’attaccante guida l’interazione verso l’azione concreta: condivisione di credenziali, installazione di strumenti di accesso remoto o utilizzo di tool di Remote Support già presenti sull’host.
Qui osserviamo tipicamente:
- User Execution (T1204)
- Remote Services (T1021)
- In alcuni casi Command and Scripting Interpreter (T1059)
Non viene necessariamente distribuito malware custom. L’attacco si basa su Living-off-the-Land techniques (LOLBins), sfruttando strumenti legittimi già disponibili nell’ambiente. Questo riduce drasticamente gli indicatori tradizionali di compromissione.
3. Privilege Escalation & Credential Access (T1068 / T1003)
Dopo l’accesso iniziale, l’obiettivo diventa l’espansione del controllo.
Si osservano:
- raccolta di credenziali
- reset password sospetti
- modifiche agli account
Le tecniche associate possono includere:
- Credential Dumping (T1003)
- Exploitation for Privilege Escalation (T1068)
- Account Manipulation (T1098)
Il fine è ottenere privilegi amministrativi sufficienti per muoversi lateralmente all’interno dell’infrastruttura.
4. Lateral Movement & Impact (T1486)
Una volta acquisiti privilegi adeguati, l’attacco entra nella fase più critica: accesso ai sistemi core, movimento verso Active Directory e tentativo di controllo del Domain Controller.
In questa fase possono essere attivate:
- Remote Services (T1021)
- Distribuzione di payload ransomware (T1486)
- Persistenza su identità privilegiate
A questo punto l’incidente non è più limitato a un singolo endpoint: diventa infrastrutturale.
Perché questo attacco elude molte difese
Questo tipo di compromissione è particolarmente insidiosa perché:
- Utilizza un canale legittimo (Teams)
- Sfrutta configurazioni di default
- Impiega strumenti amministrativi leciti
- Non richiede exploit zero-day
È un attacco identity-driven. Ed è proprio questa caratteristica a renderlo difficile da intercettare con controlli tradizionali basati su firme o IOC statici.
MDR: cosa deve essere monitorato
Un MDR orientato alla detection engineering deve essere in grado di correlare eventi cloud, endpoint e identity in un’unica vista coerente.
1. Eventi anomali su Teams
Segnali rilevanti includono:
- chiamate provenienti da tenant sconosciuti
- tenant di prova o domini onmicrosoft.com
- pattern di contatto verso utenti non tecnici
Questa visibilità richiede l’integrazione dei log Microsoft 365 nel SIEM e la capacità di analizzare i comportamenti nel tempo.
2. Uso anomalo di strumenti di Remote Support
Gli attaccanti sfruttano tool già presenti sugli host, riducendo l’impatto delle soluzioni anti-malware tradizionali.
- Un approccio detection-first efficace prevede:
- alert su esecuzione di tool di remote access fuori baseline
- correlazione tra chiamata Teams e avvio di una sessione remota
- monitoraggio dei privilegi temporanei concessi
Il valore non è nel singolo alert, ma nella concatenazione logica degli eventi.
3. Identity & Account Monitoring
Tra gli eventi da correlare:
- reset password non pianificati
- modifiche agli account
- cambi di configurazione sugli host
Ancora una volta, è la sequenza temporale a fare la differenza: singoli eventi possono sembrare legittimi; la loro combinazione racconta invece una storia diversa.
Hardening: misure concrete - Revisione delle chiamate esterne su Teams
Poiché Teams consente chiamate da utenti esterni di default, è fondamentale intervenire con:
- whitelist di tenant autorizzati
- policy restrittive per utenti non IT
Blocco dei domini onmicrosoft.com
Gli attaccanti utilizzano frequentemente tenant di prova. Se non necessari, bloccare domini che terminano con onmicrosoft.com riduce significativamente la superficie di attacco.
Detection-first vs Prevention-only
Questo caso dimostra un punto chiave: la prevenzione, da sola, non è sufficiente.
Il controllo deve essere continuo e la correlazione cross-layer è determinante. Un servizio MDR focalizzato su:
- telemetria estesa
- detection engineering
- risposta 24/7
può intercettare la kill chain nelle fasi iniziali, prima che il Domain Controller venga compromesso.
Il Vishing via Teams rappresenta l’evoluzione naturale delle tecniche di social engineering negli ambienti cloud collaborativi.
Non è solo la sofisticazione della tecnica di attacco a fare la differenza, ma la capacità dell’organizzazione di: rilevare comportamenti anomali correlare segnali deboli interrompere l’escalation prima che diventi sistemica
Dal Vishing al Domain Controller, la distanza può essere poca… la differenza sta nella capacità di detection.