広大なサイバーキャンペーンは、公開されているサイバーセキュリティツールを大規模な攻撃のための武器に変えることにより、何百もの組織で80,000を超えるユーザーアカウントを対象としています。 Cybersecurity Firm Proofpointの調査によると、キャンペーンは「UNK_SNeakyStrike」と呼ばれ、浸透テストフレームワークを活用して、Microsoft Entra ID環境に対する広範なパスワードスプレーティング攻撃を実行し、複数の成功したアカウントの買収を行います。セキュリティの専門家向けに設計された合法的なツールの。攻撃者は、 teamfiltration というクリエイターによるブログ投稿 TrustedSecで、2022年にセキュリティで公開される前に、2022年にセキュリティで公開される前に、2022年にセキュリティで公開される前に、2022年にセキュリティで公開された前の内部プロジェクトとして始まりました。最新のアカウントテイクオーバーシナリオをシミュレートする強力な方法。研究者は、ツールにハードコードされた独特で時代遅れのユーザーエージェント文字列を見つけることでアクティビティを特定しました。
さらに調査により、攻撃はMicrosoft OAuthクライアントアプリケーションIDの特定のリストを一貫して標的にしていることが明らかになりました。この方法は、Entra IDから特別な「ファミリーリフレッシュトークン」を取得するために使用されます。これは、OutlookやOnedriveなどの他の接続されたサービスの有効なアクセストークンと交換できます。攻撃者の侵害されたアカウントから攻撃者の足場を劇的に拡大します。多くの場合、同様の手法が含まれる生態系。これは、ロシア支援グループ「Midnight Blizzard」による2024年の主要な違反に続きます。
違反の最初の開示はエグゼクティブメールの妥協に焦点を当てていましたが、Microsoftは後にA
セキュリティツールの武器化も繰り返されるテーマです。 2022年のレポートでは、脅威アクターが、別の一般的な侵入テストツールを使用してバックドアをインストールするために弱いパスワードを備えたMicrosoft SQLサーバーをターゲットにした方法を詳述しています。 この攻撃は、Microsoft 365およびDynamics 365 for Business Operationsに依存している世界的に膨大な数の組織に大きな脅威をもたらします。 href=”https://www.rsa.com/wp-content/uploads/rsa-top-trends-in-identity-2025.pdf”target=”_ blank”> RSAセキュリティ2025全体でAI駆動型パスワードの上昇を予測するRSAセキュリティは、2025 。 2022年のコバルトストライキ攻撃で指摘されたAhn LabのASECグループによるレポート 「攻撃者のコマンドを受け取り、悪意のある動作を実行するビーコンは、疑わしいメモリ領域に存在せず、代わりに通常のモジュールwwanmm.dllで動作するため、メモリベースの検出をバイパスできます。」脅威アクターがこれらの方法を採用して洗練し続けるにつれて、防御者への課題はもはや既知のマルウェアをブロックするだけでなく、合法的なシステムとプロトコルの微妙な乱用を検出することです。永続的な足場。