Microsoft 365: Hackerek visszaélnek a penteszting eszközre a 80 000 felhasználói fiók széles körű támadása érdekében

Egy szétszórt kiberkampány több mint 80 000 felhasználói fiókot céloz meg több száz szervezetben azáltal, hogy egy nyilvánosan elérhető kiberbiztonsági eszközt fegyverré alakítja nagyszabású támadásokhoz. A Proofpoint kiberbiztonsági cégének kutatása szerint az „unk_sneakystrike” nevű kampány kihasználja a penetrációs tesztelési keretet a Microsoft Entra ID környezetek elleni széles körű jelszó-permetező támadások végrehajtásához, amelynek eredményeként több sikeres számla-átvétel. A biztonsági szakemberek számára tervezett legitim eszközök. A támadók a Github keretet használják TeamFiltration , amelyet úgy hoztak létre, hogy segítse a biztonsági csapatok beavatkozásának és tesztvédelmének szimulálását. Az unk_sneakystrike színész kezében azonban hatékony motorjává vált a számla kompromisszumához, amint azt a -herypoint kutatásában”>-herypoint kutatásban. A kampány aláhúzza a kibervédelem eszközei közötti elmosódott vonalakat, mivel a radar alatt repülhet legitim alkalmazások és keretek visszaélése megkerülheti a hagyományos biztonsági intézkedéseket.

A Teamfiltration keret nem született rosszindulatú eszköznek. A “_ blank”> blogbejegyzésű blogbejegyzésű, a TrustedEc, a TrustedSec-ben, az augusztus 202-ben, az augusztus 202-ben, a Belső Projekt, a Belső Projekt Biztosításának, amelyet a augusztus 202-ben jelent meg, akkor a Creators által. A Blogbejegyzésben. A Blogbejegyzés. A modern fiókok átvételi forgatókönyveinek szimulálásának módja. A kutatók a tevékenységet egy megkülönböztető és elavult felhasználói ügynök, amelyet az eszközbe keményen kódoltak, és a további vizsgálat kimutatta, hogy a támadások következetesen a Microsoft Oauth ügyfélalkalmazás-azonosítóinak konkrét listáját célozták meg. Ezt a módszert arra használják, hogy speciális „családfrissítési tokeneket” szerezzenek az Entra ID-től, amelyet ezután kicserélhetnek érvényes hozzáférési jogkivonatokra más kapcsolódó szolgáltatásokra, például az Outlook és a OneDrive, drámai módon kibővítve a támadó lábát egyetlen veszélyeztetett számláról. Ökoszisztéma, gyakran hasonló technikákat foglal magában. Ez az orosz háttámlált csoport „Midnight Blizzard” csoportjának 2024-es megsértését követi. href=”https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-collowing-attack-by-nation-state-ctor-midnight-blizzard/”Target=”_ üres”> Biztonsági frissítés , hogy a beavatkozás sokkal súlyosabb, a támadók hozzáféréssel és a ronító cég forráskódjával. Ez az esemény, akárcsak az UNK_SneakySTRIKE, nagymértékben támaszkodott a jelszó spray-támadásokra. A 2022-es jelentés részletezi, hogy a fenyegetés szereplői miként célozták meg a Microsoft SQL kiszolgálókat, gyenge jelszavakkal a hátsó ajtók telepítéséhez Cobalt Strike segítségével, egy másik népszerű penetrációs tesztelő eszközzel. (MFA). A támadás jelentős veszélyt jelent a világszerte működő hatalmas szervezetek számára, amelyek a Microsoft 365 és a Dynamics 365 üzleti tevékenységeknél támaszkodnak. href=”https://www.rsa.com/wp-content/uploads/rsa-top-trends-inidentity-2025.pdf”Target=”_ üres”> RSA biztonság, amely előrejelzi az AI-vezérelt jelszó-permetezés növekedését 2025-ben . Mivel a az Ahn Lab ASEC csoportjának jelentése A 2022-es kobalt-sztrájk támadásában a cél az, hogy a legkevésbé várhatóan működjenek. „Mivel a támadó parancsát fogadó és a rosszindulatú viselkedést végrehajtó jelzőfény nem létezik gyanús memóriaterületen, hanem a wwanmm.dll normál modulban működik, megkerülheti a memória-alapú észlelést. Mivel a fenyegetéses szereplők továbbra is elfogadják és finomítják ezeket a módszereket, a védők számára a kihívás már nem csak az ismert rosszindulatú programok blokkolása, hanem a legitim rendszerek és a protokollok finom visszaélésének észlelése. Footholds.