Eine weitläufige Cyber-Kampagne hat über 80.000 Benutzerkonten in Hunderten von Organisationen ins Visier genommen, indem er ein öffentlich verfügbares Cybersicherheitstool in eine Waffe für groß angelegte Angriffe verwandelt. Laut Untersuchungen von Cybersecurity ProofPoint nutzt die Kampagne, die als „UNK_SneakyStrike“ bezeichnet wird, einen Rahmen für Penetrationstests zur Ausführung weit verbreiteter Kennwortbesprichtangriffe gegen Microsoft Entra ID-Umgebungen, was zu mehreren erfolgreichen Account-Übernahmen führte. Legitime Tools, die für Sicherheitsfachleute entwickelt wurden. Die Angreifer verwenden ein Framework von Github namens teamFiltration , das erstellt wurde, um Sicherheitsteams zu helfen, Intrusionen und Testverteidigungen zu simulieren. In the hands of the UNK_SneakyStrike actor, however, it has become an effective engine for account compromise, as detailed in Proofpoint’s research.
The Die Kampagne unterstreicht die verwischenden Grenzen zwischen den Tools der Cyberverteidigung, da der Missbrauch legitimer Anwendungen und Frameworks, die unter dem Radar fliegen können, traditionelle Sicherheitsmaßnahmen umgehen können.
Anatomie eines modernen Cloud-Angriffs
Die UNK_SNeakyStrike-Kampagne ist in seiner Ausführung methodisch. Die Angriffe stammen aus der AMS-Infrastruktur (Amazon Web Services), wobei Bedrohungsakteure Server in verschiedenen geografischen Regionen systematisch rotieren-insbesondere in den Vereinigten Staaten (42%), Irland (11%) und Großbritannien (8%)-, um Wellen mit Passwortsprüchenversuchen zu starten. Diese Technik macht den böswilligen Verkehr nur auf der Grundlage von IP-Adressen erheblich schwieriger. Laut ProofPoint-Analyse wird dies durch Missbrauch der Microsoft-Teams-API über einen „Opfer“ oder ein verfügbares Office 365-Konto ermöglicht, sodass sie gültige Ziele identifizieren können, ohne sofortige Alarme auszusetzen.
Ein Werkzeug hat Waffe
Das Teamfiltrationsrahmen wurde kein bösartiges Werkzeug geboren. Laut einen Blog-Beitrag von seiner Schöpferin Auf der DEF-Contressec-Konfession begann die Def-Concert-2021. Leistungsstarke Möglichkeit, moderne Account-Übernahme-Szenarien zu simulieren. Die Forscher identifizierten die Aktivität, indem sie eine unverwechselbare und veraltete User Agent-String-Zeichenfolge entdeckten, die in das Tool festgelegt war.
Weitere Untersuchungen ergaben, dass die Angriffe konsistent auf eine bestimmte Liste von Microsoft-OAuth-Client-Anwendungs -IDs abzielten. Diese Methode wird verwendet, um spezielle „Familien-Refresh-Token“ aus der Entra-ID zu erhalten, die dann gegen gültige Zugangszeichen für andere verbundene Dienste wie Outlook und OneDrive ausgetauscht werden kann, wobei die Angreifer des Angreifers von einem einzigen kompromisierten Bericht dramatisch erweitert werden. Microsoft-Ökosystem, das häufig ähnliche Techniken umfasst. Es folgt dem Hauptverstoß von 2024 durch die von Russland unterstützte Gruppe „Midnight Blizzard“. href=”https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-flowing-attack-by-nation-state-actor-midnight-blizzard/”target=”_ Blank”> Sicherheitsdatup. Dieser Vorfall wie UNK_SneakyStrike stützte sich auch stark auf Passwort-Spray-Angriffe.
Die Waffe von Sicherheitstools ist ebenfalls ein wiederkehrendes Thema. In einem Bericht von 2022 wurde beschrieben, wie Bedrohungsakteure auf Microsoft SQL-Server mit schwachen Passwörtern abzielten, um Hintertoore mit Cobalt Strike zu installieren, ein weiteres beliebtes Penetrationstest-Tool. Der Angriff stellt eine erhebliche Bedrohung für die große Anzahl von Organisationen weltweit dar, die sich auf Microsoft 365 und Dynamics 365 für Geschäftsabläufe verlassen. href=”https://www.rsa.com/wp-content/uploads/rsa-top-trend-in-identity-2025.pdf”target=”_ leer”> RSA-Sicherheit, die einen Anstieg der AI-Driven-Sprühen im Laufe 2025 prognostizieren. Als Bericht der AHN-Labor-ASEC-Gruppe , die im Jahr 2022 in den Cobalt-Streikangriffen festgestellt wurden, ist das Ziel, dort zu operieren, wo Sie am wenigsten erwartet werden. „Als das Beacon, das den Befehl des Angreifer erhält und das böswillige Verhalten ausführt, gibt es in einem verdächtigen Speicherbereich nicht und arbeitet stattdessen im normalen Modul wwanmm.dll, es kann die Erkennung von Gedächtnisbasis umgehen.“ Da Bedrohungsakteure diese Methoden weiterhin anwenden und verfeinern, besteht die Herausforderung für Verteidiger nicht mehr nur darum, bekannte Malware zu blockieren, sondern um den subtilen Missbrauch legitimer Systeme und Protokolle zu erkennen. Festlegen von anhaltenden Fußgängern.