Cybersecurity-onderzoekers hebben een nieuwe Account Takeover (ATO) -campagne ontdekt die gebruik maakt van een open-source penetratietestkader genaamd TeamFiltration om Microsoft Entra ID (voorheen Azure Active Directory) gebruikersaccounts te schenden.
De activiteit, gecodeerd Unk_sneakystrike Door Proofpoint heeft meer dan 80.000 gebruikersaccounts zich gericht op de cloudhuurders van honderden organisaties, omdat een toename van inlogpogingen werd waargenomen in december 2024, wat leidde tot succesvolle accountovernames.
“Aanvallers maken gebruik van Microsoft Teams API en Amazon Web Services (AWS) -servers in verschillende geografische regio’s om pogingen voor het versterken van de gebruikers-versterken en wachtwoord te starten,” zei het Enterprise Security Company. “Aanvallers exploiteerden toegang tot specifieke bronnen en native applicaties, zoals Microsoft -teams, OneDrive, Outlook en anderen.”
Teamfiltratie, publiekelijk uitgebracht door onderzoeker Melvin “FLANGVIK” Langvik, in augustus 2022 op de DEF Con Security Conference, wordt beschreven als een platformonafhankelijk framework voor “opsomming, spuiten, exfiltrerend en achterdeur” id-accounts.
De tool biedt uitgebreide mogelijkheden om de accountovername te vergemakkelijken met behulp van wachtwoordspuitaanvallen, data -exfiltratie en aanhoudende toegang door kwaadaardige bestanden te uploaden naar het Microsoft OneDrive -account van het doelwit.
Hoewel de tool een Amazon Web Services (AWS) -account (AWS) en een wegwerpmicrosoft 365 -account vereist om wachtwoordspuiten en accounts -opsommingsfuncties te vergemakkelijken, zei Proofpoint dat het bewijs heeft waargenomen van kwaadwillende activiteiten die te teamfiltratie benutten om deze activiteiten uit te voeren zodat elke wachtwoordspuitgolf afkomstig is van een andere server in een nieuwe geografische locatie.
De drie primaire bronbanden gekoppeld aan kwaadaardige activiteiten op basis van het aantal IP -adressen omvatten de Verenigde Staten (42%), Ierland (11%) en Groot -Brittannië (8%).
De UNK_SneakyStrike-activiteit is beschreven als “grootschalige gebruikersbeslag en pogingen voor het spuiten van wachtwoorden”, waarbij de ongeautoriseerde toegangsinspanningen plaatsvinden in “sterk geconcentreerde bursts” die zich richten op verschillende gebruikers binnen een enkele cloudomgeving. Dit wordt gevolgd door een stilte die vier tot vijf dagen duurt.
De bevindingen benadrukken opnieuw hoe tools die zijn ontworpen om cybersecurity -professionals te helpen door bedreigingsactoren kunnen worden misbruikt om een breed scala aan snode acties uit te voeren waarmee ze gebruikersaccounts kunnen doorbreken, gevoelige gegevens kunnen oogsten en aanhoudende voet aan de grond kunnen stellen.
“De targetingstrategie van UNK_SneakyTrike suggereert dat ze proberen toegang te krijgen tot alle gebruikersaccounts binnen kleinere cloud -huurders, terwijl ze zich alleen richten op een subset van gebruikers in grotere huurders,” zei Proofpoint. “Dit gedrag komt overeen met de geavanceerde target -acquisitiefuncties van de tool, ontworpen om minder gewenste accounts uit te filteren.”
