Microsoft 365: Hackers abusam da ferramenta de pentesting para ataques generalizados em 80.000 contas de usuário

Published by All Things Windows on

Uma campanha cibernética em grande alvo direcionou mais de 80.000 contas de usuário em centenas de organizações, transformando uma ferramenta de segurança cibernética disponível ao público em uma arma para ataques em larga escala. According to research from cybersecurity firm Proofpoint, the campaign, dubbed “UNK_SneakyStrike,”leverages a penetration testing framework to execute widespread password-spraying attacks against Microsoft Entra ID environments, resulting in multiple successful account takeovers.

The operation, which began in December 2024 and peaked in early January 2025, highlights a significant and evolving threat: the malicious use of Ferramentas legítimas projetadas para profissionais de segurança. Os invasores estão usando uma estrutura do Github chamada teamfiltração , que foi criado para ajudar as equipes de segurança a simular intrusões e testar as defesas. Nas mãos do ator unk_sneakystrike, no entanto, tornou-se um mecanismo eficaz para o compromisso da conta, conforme detalhado em Anatomia de um ataque moderno em nuvem

A campanha UNK_SNEAKYSTRIGE é metódica em sua execução. Os ataques se originam da infraestrutura da Amazon Web Services (AWS), com atores de ameaças rotulando sistematicamente servidores em várias regiões geográficas-principalmente os Estados Unidos (42%), Irlanda (11%) e Grã-Bretanha (8%)-para lançar ondas de tentativas de pulverização por senha. Essa técnica torna o tráfego malicioso significativamente mais difícil de bloquear com base apenas em endereços IP.

Antes de iniciar o spray de senha, os invasores usam o recurso de enumeração da Ferramenta de Filtração do Teamfiltração para verificar a existência de contas de usuário em uma organização-alvo. De acordo com a análise do ProofPoint, isso é realizado abusando da API da Microsoft Teams por meio de uma conta”sacrifício”ou descartável Office 365, permitindo que eles identifiquem alvos válidos sem aumentar os alarmes imediatos.

Uma ferramenta virou arma

A estrutura do Teamfiltração não nasceu uma ferramenta maliciosa. De acordo com um post de blog antes de serem lançados em SUPTROMENT em SUPTRIONS a serem lançados em Supports, que foi lançado em Soerty, em Soerting, que foi lançado em Soert. Maneira de simular cenários modernos de aquisição da conta. Os pesquisadores identificaram a atividade detectando uma sequência de agente de usuário distintiva e desatualizada com codificação de codificação. Este método é usado para obter”tokens de refrescamento familiar”especiais da ENTRA ID, que podem ser trocados por tokens de acesso válidos por outros serviços conectados, como Outlook e OneDrive, expandindo drasticamente a base do invasor de uma relata de spoting e evolução de uma única ameaça de evolução. O ecossistema, geralmente envolvendo técnicas semelhantes. Segue-se a maior violação de 2024 do grupo apoiado pela Rússia “Midnight Blizzard”. href=”https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-acollowing-attack-by-nation-state-actor-midnight-blizzard/”Target=”_ Blank”> Security Atualize que a intrusão foi muito mais severa. Esse incidente, como Unk_sneakystrike, também se baseou fortemente em ataques de spray de senha.

A arma de ferramentas de segurança também é um tema recorrente. Um relatório 2022 detalhou como os atores de ameaças segmentaram servidores Microsoft SQL com senhas fracas para instalar backdoors usando o Cobalt Strike, outra ferramenta popular de teste de penetração. O ataque representa uma ameaça significativa para o grande número de organizações globalmente que dependem do Microsoft 365 e Dynamics 365 para operações comerciais. href=”https://www.rsa.com/wp-content/uploads/rsa-top tendências em Como o Relatório do grupo ASEC da AHN Lab Notado nos ataques de greve de cobalto em 2022, o objetivo é operar onde você é menos esperado.”Como o farol que recebe o comando do invasor e executa o comportamento malicioso não existe em uma área de memória suspeita e, em vez disso, opera no módulo normal wwanmm.dll, pode ignorar a detecção baseada em memória.”

A ascensão de uma conduzida e a base de um bullfiltration, como a entrada, o aumento de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a queda de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada de uma entrada e a entrada em termos de entrada e a entrada é uma entrada e a entrada de uma entrada e a entrada de uma mudança de queda. À medida que os atores de ameaças continuam adotando e refinando esses métodos, o desafio para os defensores não é mais apenas bloquear malware conhecido, mas sobre detectar o sutil abuso de sistemas e protocolos legítimos. Estabeleça pontos de apoio persistentes.

Categories: IT Info

Related Posts

IT Info

Como inicializar a partir de uma unidade USB (4 métodos)

Existem muitas situações em que você pode precisar inicializar o computador a partir de uma unidade USB. Talvez você esteja instalando uma versão nova do Windows. Talvez você esteja solucionando um teimosa

IT Info

Psicose induzida pela AI: como o chatgpt está alimentando delírios mortais e promove teorias da conspiração

Um número crescente de relatórios vincula o Chatgpt da OpenAI a crises graves de saúde mental, incluindo casos de psicose e ilusão que resultaram em danos no mundo real e pelo menos uma morte

IT Info

Como verificar o hash do arquivo em busca de qualquer arquivo no Windows 11 e 10

Deseja verificar o hash sha1, sha256, sha384, sha512 ou md5 para um arquivo? Você pode fazer isso sem usar ferramentas de terceiros no Windows. Aqui está como.