Mimecast Logo
Richiedi un preventivo

    Segnalazione diretta di abusi

    6 agosto 2025

    Punti principali
    • Gli autori delle minacce stanno sfruttando attivamente la funzionalità Direct Send di Microsoft 365 per inviare e-mail di phishing
    • Tale tecnica aggira efficacemente le soluzioni di sicurezza perimetrale instradando le e-mail dannose attraverso l'infrastruttura affidabile di Microsoft 365
    • Non richiede credenziali né token, ma solo la conoscenza del dominio di destinazione e di indirizzi di destinatari validi
    • Ciò rappresenta una grave lacuna nelle misure di sicurezza della posta elettronica, in quanto consente di aggirare i filtri di sicurezza esterni che analizzano la posta in arrivo proveniente da fonti esterne

    Presentazione

    Il team di ricerca sulle minacce di Mimecast continua a rilevare campagne di e-mail dannose che sfruttano la funzionalità Direct Send di Microsoft 365. Questo vettore di attacco consente agli autori delle minacce di inviare e-mail che sembrano provenire da utenti interni senza che sia necessaria alcuna autenticazione né la compromissione di un account. Questa tecnica ha acquisito sempre maggiore diffusione poiché riesce a eludere efficacemente le soluzioni di sicurezza perimetrale e sfrutta la fiducia intrinseca che gli utenti ripongono nelle comunicazioni interne. Questa minaccia emergente rappresenta una grave lacuna nelle difese di sicurezza della posta elettronica per le organizzazioni che utilizzano Microsoft 365.

     

    Metodologia di attacco

    Direct Send è una funzionalità ufficiale di Microsoft 365 progettata per consentire a dispositivi, applicazioni e servizi di terze parti di inviare e-mail direttamente alle caselle di posta degli utenti senza autenticazione. Gli autori degli attacchi sfruttano questa funzionalità collegandosi all'endpoint SMTP di Microsoft 365 e inviando e-mail che simulano mittenti interni. Il processo di attacco prevede tre fasi fondamentali:

    1. Gli autori degli attacchi individuano domini aziendali validi e indirizzi e-mail dei destinatari attraverso attività di ricognizione.
    2. Le e-mail sono redatte in modo da fingere di provenire da utenti interni o reparti affidabili, spesso imitando comunicazioni aziendali comuni quali notifiche del reparto IT o comunicati delle Risorse Umane.
    3. Queste e-mail contraffatte vengono inviate direttamente tramite l'infrastruttura di Microsoft 365, dove appaiono come messaggi instradati internamente.

    A differenza dello spoofing tradizionale delle e-mail, l’abuso della funzione Direct Send non richiede credenziali di autenticazione, nome utente, password o token. Agli autori degli attacchi è sufficiente conoscere il dominio dell'organizzazione presa di mira e disporre di indirizzi dei destinatari validi. Questa tecnica è particolarmente efficace poiché le e-mail transitano attraverso l'infrastruttura affidabile di Microsoft 365, apparendo così legittime sia ai sistemi di sicurezza che agli utenti finali. L'assenza di requisiti di autenticazione implica che gli autori degli attacchi possano assumere l'identità di qualsiasi utente interno senza dover compromettere account legittimi.

     

    Informazioni sulla campagna

    Le organizzazioni sono esposte a un rischio significativo di furto di credenziali, business email compromise e diffusione di malware attraverso questo vettore di attacco. La fiducia implicita associata alle comunicazioni interne aumenta la probabilità che gli utenti interagiscano con contenuti dannosi.

    Campagne recenti hanno dimostrato l’efficacia di questa tecnica, grazie alla quale gli autori delle minacce sono riusciti a sottrarre credenziali e a creare punti d’appoggio per il movimento laterale all’interno degli ambienti presi di mira. L'uso improprio di Direct Send ha avuto particolare successo presso le organizzazioni che fanno ampio ricorso alle comunicazioni via e-mail per le proprie attività aziendali.

    Sebbene le e-mail di abuso inviate direttamente non transitino attraverso Mimecast, le recenti campagne osservate contengono allegati in formato PDF e DOCX con codici QR o allegati HTML fortemente offuscati, che rimandano tutti a pagine di phishing volte al furto di credenziali.

    Abuso di Microsoft Direct Send 1.png

    Dall’analisi dei file PDF e DOC allegati emerge che gli autori dell’attacco stanno utilizzando strumenti automatizzati per generare esche convincenti a tema aziendale nell’ambito di una campagna di phishing che sfrutta la funzionalità Direct Send di Microsoft. Gli allegati in formato PDF sono stati creati prevalentemente utilizzando wkhtmltopdf 0.12.6 (Qt 4.8.7), uno strumento comunemente utilizzato per convertire su larga scala modelli HTML in file PDF, mentre i file DOCX sono stati generati con Microsoft Office Word 2007, una versione precedente che supporta funzionalità spesso sfruttate in modo improprio nelle operazioni di phishing, quali le richieste di recupero dei file e la compatibilità con le macro. L'uso sistematico di questi strumenti, unito alla creazione rapida, in giornata, di numerosi documenti a tema, indica un approccio coordinato e basato su modelli, concepito per ottimizzare la distribuzione e aggirare i controlli di sicurezza tradizionali.

     

    Analisi HTML

    Un esempio interessante di allegato HTML mostra un'offuscamento molto marcato ottenuto tramite l'uso di omografi. A prima vista, il codice utilizza ripetutamente una variabile single, ma in realtà definisce e manipola più di un centinaio di variabili, ciascuna delle quali è denominata con tre caratteri UTF-8 (Unicode) visivamente simili. Questa tecnica, nota come "Unicode" o "offuscamento omoglifo", rende l'analisi manuale estremamente complessa e può eludere molti strumenti di rilevamento automatizzato. Lo script evita qualsiasi stringa leggibile o assegnazione diretta. Utilizza invece una serie di peculiarità di JavaScript e di espedienti di coercizione dei tipi — quali !1+[] (che restituisce la stringa "false"), []+{} (che produce "[object Object]") e "foo"& " bar" (che restituisce sempre 0) — per generare numeri interi e stringhe di base. Questi numeri interi vengono quindi utilizzati come indici di array o per generare codici ASCII, che vengono assemblati dinamicamente nel payload finale tramite funzioni quali String.fromCharCode. Il codice utilizza la funzione document.write() per visualizzare il contenuto dannoso, che reindirizza l'utente verso un sito di phishing. Tutto ciò avviene senza che nel codice statico siano presenti stringhe significative, rendendo estremamente difficili l’analisi statica e il rilevamento basato sulle firme.

    Abuso di Microsoft Direct Send 2.png

    Gli altri allegati HTML individuati utilizzano prevalentemente una variante dei caratteri UTF-8 per offuscare notevolmente il file.

     

    Indicatori di compromissione

    Indirizzi IP di origine iniziali


    141.95.71.216
    141.95.114.238
    139.28.38.90
    23.163.0.158
    51.89.87.86

    Oggetti delle e-mail


    Nuovo Manuale del dipendente e aggiornamenti sull’organizzazione
    Riconoscimento del Suo contributo lavorativo – Aggiornamento sulla retribuzione
    Riconferma obbligatoria delle credenziali di accesso
    Conferma: bonus di fine anno 2025 aggiunto alla vostra busta paga
    Azione richiesta: Valutazione dei dipendenti di [Nome dell’azienda]

    Domini


    Jmvthr[.]owlrd[.]ru
    Eiregirc[.]ru
    Mettsoll[.]com
    djvzk[.]uekmu[.]es


    Hash dei file


    cc2f055a242eec9ba870fc3040883439666266a018c833b72bb201592ff0c0e4
    19279573e2c3b0e6348bb305e3101531eea978037330636942a0be85dccd62c1
    988d3069d1241d2784debeb6946c57a8c66221d7fbfbd6228b2b8b3cc4e92a50
    092d0be4a754532ad49e202eeba2a7709dad03f3f58cf72205f38efc668ebabd
    975b04bb26d5fe627e195bdf46fc4eec7b25b63d7b4ab926b437a04903ec522f
    625561c24491e8b68efa34e14c5a332c63c6121a333f700af4ff6801ebe587c8
    b810f7e999d5824147535e3974cf349010f78badaa0428c554bb3e5eec56db2f
    5b6aa8f966e240f620ad10417ff4804941966f878cc83020391ad786f5360f43
    3f52227acb6f97853b491cdaab53630cb21b3337a972efcb05660cd139df2482
    c2394537d5e7b3c1c9afc73408b5c6b1c1154650a4a8454b9f4e534c9ddbd092
    ca82e7201694b964e0f6702e08f75f98f0732552aefaed6ae8b170689341bfe2
    3432411a3bb498e6688d24dc3824b6469242d42d0b8742116479f35a8c05ab5a
    f24785156ec9c045e88eed48b2a262996a12e7bc62f50784bba9334172668275
    48171e699562fe854418797cd8b8517b3f5eec598fd89e3d20c5a8f346176bf2
    d5800e021a88c6e91f1605b892e8aefe1ba21719022417746a64a4acba13e903
    cf74d4c1c3e8317c43aacdcda57cb8da032477e24732d0a7987c8bf5aa9ff186
    7c11352b17e325a53e3a73e34459fc55b90ceaf2c3cd4dc4421be879c7147391
    b96ee4c2bdf566a5740dc100cf1c70896cd2806fac42d46b022d5c52c3a8a52a
    df6bc150a77c36beafbfd0c59daa7a8960bb090743b778477e25805195640c0c
    0736b07c27ff2ff21175991c2ffae38d75a66bbb57fe4390afb3347e4d6e691a

    Raccomandazioni


    Misure di mitigazione

    • Attivare l'impostazione “Rifiuta invio diretto”: se la vostra organizzazione non necessita della funzione “Invio diretto”, disattivatela. Nel Centro di amministrazione di Exchange, attivi l'impostazione “Rifiuta invio diretto”. Ciò impedirà l'uso non autorizzato della funzione "Invio diretto", respingendo le e-mail che tentano di utilizzare tale metodo senza un'adeguata autenticazione.
    • Abilitare i record DMARC o SPF in modalità rigorosa

    Configurare M365 con Mimecast

    Valutazione ambientale

    Prima di abilitare questa funzionalità, le organizzazioni dovrebbero verificare la presenza, nel proprio ambiente, di dispositivi o applicazioni che utilizzano il protocollo SMTP non autenticato per funzioni aziendali legittime. I sistemi legacy, le stampanti, gli scanner e le applicazioni specifiche di settore potrebbero richiedere aggiornamenti di configurazione per poter utilizzare metodi di invio autenticati.

    Back to Top