Kempen siber yang luas telah mensasarkan lebih daripada 80,000 akaun pengguna di seluruh beratus-ratus organisasi dengan mengubah alat keselamatan siber yang tersedia secara umum menjadi senjata untuk serangan besar-besaran. Menurut penyelidikan dari firma cybersecurity firma proofpoint, kempen itu, yang digelar”UNK_SNEAKYSTRIKE,”memanfaatkan rangka kerja ujian penembusan untuk melaksanakan serangan kata laluan yang meluas terhadap persekitaran ID Microsoft Entra, yang mengakibatkan beberapa tahun yang tinggi, Penggunaan alat yang sah yang direka untuk profesional keselamatan. Penyerang menggunakan rangka kerja dari GitHub yang dipanggil Teamfiltration , yang dicipta untuk membantu pasukan keselamatan mensimulasikan pencerobohan dan pertahanan ujian. Di tangan pelakon unk_sneakystrike, bagaimanapun, ia telah menjadi enjin yang berkesan untuk kompromi akaun, seperti yang terperinci dalam Kempen UNK_Sneakystrike adalah metodis dalam pelaksanaannya. Serangan ini berasal dari infrastruktur Amazon Web Services (AWS), dengan pelakon ancaman secara sistematik berputar di seluruh kawasan geografi-terutamanya Amerika Syarikat (42%), Ireland (11%), dan Great Britain (8%)-untuk melancarkan gelombang percubaan kata laluan. Teknik ini menjadikan lalu lintas yang berniat jahat jauh lebih sukar untuk menyekat berdasarkan alamat IP sahaja. Sebelum melancarkan semburan kata laluan, penyerang menggunakan ciri penghitungan alat TeamFiltration untuk mengesahkan kewujudan akaun pengguna dalam organisasi sasaran. Menurut analisis Proofpoint, ini dicapai dengan menyalahgunakan API Microsoft Teams melalui akaun”korban”atau pejabat pakai buang 365, yang membolehkan mereka mengenal pasti sasaran yang sah tanpa menaikkan penggera segera. Rangka kerja TeamFiltration tidak dilahirkan sebagai alat berniat jahat. Menurut Cirinya termasuk pengelupasan data canggih dan keupayaan untuk berputar secara automatik alamat IP menggunakan perkhidmatan seperti Fireprox, menjadikannya alat keselamatan yang tidak dapat diakses oleh orang yang sah. Penyelidik mengenal pasti aktiviti dengan mengesan rentetan ejen pengguna yang tersendiri dan ketinggalan zaman yang ditodakan ke dalam alat. Penyiasatan lanjut mendedahkan bahawa serangan secara konsisten mensasarkan senarai khusus ID aplikasi klien Microsoft OAuth. Kaedah ini digunakan untuk mendapatkan”token penyegaran keluarga”khas dari ID Entra, yang kemudiannya boleh ditukar untuk token akses yang sah untuk perkhidmatan yang berkaitan seperti Outlook dan OneDrive, secara dramatik memperluaskan pijakan penyerang dari satu-satunya yang diketengahkan oleh siri. Ekosistem, sering melibatkan teknik yang sama. Ia mengikuti pelanggaran utama 2024 oleh kumpulan yang disokong Rusia”Midnight Blizzard.” Walaupun pendedahan awal pelanggaran yang difokuskan pada kompromi e-mel eksekutif, Microsoft kemudiannya mendedahkan dalam Senjata alat keselamatan juga merupakan tema berulang. Laporan 2022 terperinci bagaimana pelakon ancaman mensasarkan pelayan Microsoft SQL dengan kata laluan yang lemah untuk memasang backdoors menggunakan mogok kobalt, satu lagi alat ujian penembusan yang popular. (MFA). Serangan ini menimbulkan ancaman yang signifikan terhadap sejumlah besar organisasi di seluruh dunia yang bergantung kepada Microsoft 365 dan Dynamics 365 untuk operasi perniagaan. href=”https://www.rsa.com/wp-content/uploads/rsa-top-trends-in-identity-2025.pdf”sasaran=”_ blank”> Keselamatan RSA yang meramalkan peningkatan kata laluan yang digerakkan di seluruh 2025; Seperti yang dikemukakan oleh kumpulan ASEC ASEC LAB LAB Alat yang menjadi senjata
Footholds.