一項龐大的網絡活動通過將公開可用的網絡安全工具變成大規模攻擊的武器來針對數百個組織的80,000多個用戶帳戶。根據網絡安全企業證明的研究,該活動稱為“ UNK_SNeakyStrike”,利用了一個穿透性測試框架來執行針對Microsoft Entra ID環境的廣泛擴張攻擊,從而導致了多個成功的帳戶收購。為安全專業人員設計的合法工具。攻擊者正在使用GitHub的框架,名為 teamfiltration ,該是為了幫助安全團隊模擬入侵和測試防禦能力而創建的。然而,在UNK_SNeakyStrike演員手中,它已成為帳戶妥協的有效引擎,如廣告系列強調了網絡防禦工具之間的模糊界限,因為濫用合法的應用程序和可以在雷達下飛行的框架可以繞過傳統的安全措施。
現代云攻擊
現代云攻擊
在啟動密碼噴霧之前,攻擊者使用TeamFtration工具的枚舉功能來驗證目標組織中用戶帳戶的存在。根據證據的分析,這是通過通過“犧牲”或一次性辦公室365帳戶濫用Microsoft團隊API來完成
一種工具轉動武器
TeamFortration框架不是誕生的惡意工具。根據創作者的博客帖子在TrustedSec上,它是在2021年1月2021日在八月份的專業人士舉行的一項專業範圍內,該項目始於consection in 8月20日。
它的功能包括先進的數據剝落以及使用FireProx之類的服務自動旋轉IP地址的能力,這使其成為有效的,公共公共可訪問的進攻安全工具。
區分UNK_SNeakyStrike活動從合法的滲透測試進行仔細的法醫學分析。研究人員通過在工具中發現一個獨特而過時的用戶代理字符串來確定活動。
進一步的研究表明,攻擊始終針對Microsoft Oauth客戶端應用程序ID的特定列表。 This method is used to obtain special “family refresh tokens”from Entra ID, which can then be exchanged for valid access tokens for other connected services like Outlook and OneDrive, dramatically expanding the attacker’s foothold from a single compromised account.
A Persistent and Evolving Threat
This campaign is the latest in a series of significant cyber events targeting the微軟生態系統,通常涉及類似的技術。這是在俄羅斯支持的團體“午夜暴風雪”的2024年重大違規之後。 href=“ https://msrc.microsoft.com/blog/2024/2024/03/update-on-microsoft-actions-actions-following-following-antack-by-nation-nation-nation-nation-nation-nation-nation-nation-nation-midnight-night-blizzard/” target=“ _ black”>安全更新入侵更加嚴重地訪問了攻擊者和攻擊公司的範圍更加嚴重的攻擊者,並掌握了攻擊者的銷售代碼和偷竊代碼。該事件(例如UNK_SNeakyStrike)也很大程度上依賴密碼噴霧攻擊。
安全工具的武器化也是一個反復出現的主題。 A 2022 report detailed how threat actors targeted Microsoft SQL servers with weak passwords to install backdoors using Cobalt Strike, another popular penetration testing tool.
More recently, a separate campaign saw a botnet attack actively exploiting the Microsoft Dynamics 365 Customer Voice enterprise feedback management application to deceive users and steal their login credentials, including bypassing multi-factor authentication (MFA). 這次攻擊對全球大量組織構成了重大威脅,這些組織依靠Microsoft 365和Dynamics 365用於業務運營。
這種利用自動化流程和身份驗證差距的趨勢正在加速,最近的安全趨勢來自 RSA安全預測AI驅動的密碼在整個2025 。作為 AHN Lab的ASEC組報告在2022年的鈷罷工攻擊中指出,目標是在最不希望的情況下操作。 “由於接收攻擊者的指揮並執行惡意行為的燈塔在可疑的內存區域不存在,而是在普通模塊wwanmm.dll中運行,它可以繞過基於內存的檢測。”
諸如團隊填充之類的精緻,公開可用工具的崛起降低了進入範圍內的障礙,以進行範圍內的障礙,以對環境進行廣泛的攻擊,有效地進行了有效的構造,有效地進行了有效的攻擊。 As threat actors continue to adopt and refine these methods, the challenge for defenders is no longer just about blocking known malware but about detecting the subtle abuse of legitimate systems and protocols.
While tools such as TeamFiltration are designed to assist cyber security practitioners in testing and improving defense solutions, they can easily be weaponized by threat actors to compromise user accounts, exfiltrate sensitive data, and establish persistent立足。
