Una tentacolare campagna informatica ha preso di mira oltre 80.000 account utente tra centinaia di organizzazioni trasformando uno strumento di sicurezza informatica disponibile al pubblico in un’arma per attacchi su larga scala. Secondo la ricerca della società di sicurezza informatica Proofpoint, la campagna, soprannominata”UNK_SNEAKYSTRike”, sfrutta un framework di test di penetrazione per eseguire attacchi diffusi spray di password contro l’uso di Microsoft ENTra, evolvendo in modo significativo: eventi di evoluzione: eventi di evoluzione di successo. Strumenti legittimi progettati per i professionisti della sicurezza. Gli aggressori stanno usando un framework di GitHub chiamato teamfiltration , che è stato creato per aiutare i team di sicurezza a simulare le intrusioni e le difese dei test. Nelle mani dell’attore UNK_SNEAKYSTRIKE, tuttavia, è diventato un motore efficace per compromesso dell’account, come dettagliato in
, con attori di minaccia che ruotano sistematicamente i server in varie regioni geografiche-principalmente gli Stati Uniti (42%), l’Irlanda (11%) e la Gran Bretagna (8%)-per lanciare ondate di tentativi di spray password. Questa tecnica rende il traffico dannoso significativamente più difficile da bloccare in base ai soli indirizzi IP. </p>
<p> Prima di avviare lo spray password, gli aggressori utilizzano la funzione di enumerazione dello strumento di Teamfiltration per verificare l’esistenza di account utente all’interno di un’organizzazione target. Secondo l’analisi di Proofpoint, ciò si ottiene abusando dell’API di Microsoft Teams tramite un account”sacrificale”o uffice usa e getta 365, consentendo loro di identificare obiettivi validi senza sollevare allarmi immediati. </p>
<p> L’attività della campagna è caratterizzata da un sistema di monitoraggio altamente concentrato. </p>
<h3> <strong> Uno strumento trasformato nell’arma </strong> </h3>
<p> Il framework difiltrazione del team non è nato uno strumento dannoso. Secondo <a href=)
Le sue caratteristiche includono l’esfiltrazione di dati avanzati e la capacità di ruotare automaticamente gli indirizzi IP usando servizi come FireProx, rendendolo un potente strumento di sicurezza offensivo accessibile pubblicamente. I ricercatori hanno identificato l’attività individuando una stringa di agente utente distintivo e obsoleto con codifica rigida nello strumento.
Ulteriori indagini hanno rivelato che gli attacchi hanno preso di mira costantemente un elenco specifico di ID dell’applicazione client Microsoft OAuth. Questo metodo viene utilizzato per ottenere speciali”token di aggiornamento familiare”da ENTRA ID, che può quindi essere scambiato con validi token di accesso per altri servizi connessi come Outlook e OneDrive, espandendo drasticamente il punto d’attacco dell’attaccante da un unico account compromesso. Ecosistema, spesso coinvolgendo tecniche simili. Segue la maggiore violazione del 2024 da parte del gruppo sostenuto dalla Russia”Midnight Blizzard”.
Mentre la divulgazione iniziale della violazione si è concentrata sul compromesso delle e-mail esecutive, Microsoft ha successivamente rivelato in un aggiornamento di sicurezza che l’intrusione era molto più grave, con l’accettatore di accesso alla società. Quell’incidente, come UNK_SNEAKYSTRIKE, si è anche basato fortemente sugli attacchi a spruzzo password.
Anche l’arma degli strumenti di sicurezza è un tema ricorrente. Un rapporto del 2022 ha dettagliato come gli attori di minaccia hanno preso di mira i server Microsoft SQL con password deboli per installare backdoors usando Cobalt Strike, un altro popolare strumento di test di penetrazione.
Più recentemente, una campagna separata ha visto un attacco di botnet che sfruttava attivamente l’autenzione di Microsoft Dynamics Dynamics Dynamics Dynamics Enterprise Feedback Applicazione di feedback vocale. L’attacco rappresenta una minaccia significativa per il vasto numero di organizzazioni a livello globale che si basano su Microsoft 365 e Dynamics 365 per le operazioni aziendali.
Questa tendenza allo sfruttamento dei processi automatizzati e delle lacune di autentica href=”https://www.rsa.com/wp-content/uploads/RSA-TOP-RENDS-IN-Identity-2025.pdf”Target=”_ Blank”> RSA Security prevedendo un aumento della password guidata da Ai-spruzzatura durante il 2025 .
Questi strumenti avanzati sono progettati per essere stagionali; Come Il rapporto ASEC di Ahn Lab notato negli attacchi di sciopero Cobalt nel 2022, l’obiettivo è quello di operare dove ci si aspetta meno.”Poiché il faro che riceve il comando dell’attaccante ed esegue il comportamento dannoso non esiste in un’area di memoria sospetta e opera invece nel normale modulo wwanmm.dll, può bypassare il rilevamento basato sulla memoria.”
L’ascesa di strumenti sofisticati e pubblicamente disponibili pubblicizzati come la filullazione di team ha abbassato la barriera per l’ingresso per l’accesso conduttore di redazione, efficace e efficace ambienta. Man mano che gli attori delle minacce continuano ad adottare e perfezionare questi metodi, la sfida per i difensori non riguarda più il blocco di malware noto, ma per rilevare il sottile abuso di sistemi e protocolli legittimi.
POTHOLDS CHIUSTI.
