Een uitgestrekte cybercampagne heeft zich gericht op meer dan 80.000 gebruikersaccounts in honderden organisaties door een publiek beschikbaar cybersecurity-tool om te zetten in een wapen voor grootschalige aanvallen. Volgens onderzoek van Cybersecurity Firm Proofpoint, heeft de campagne, genaamd”UNK_SneakyStrike”, een penetratietestkader gebruikt om wijdverspreide wachtwoord-spuitende aanvallen uit te voeren tegen Microsoft Entra ID-omgevingen, resulterend in meerdere succesvolle accountovernames. van legitieme tools die zijn ontworpen voor beveiligingsprofessionals. De aanvallers gebruiken een framework van Github genaamd Teamfiltratie , dat is gemaakt om beveiligingsteams te helpen bij het simuleren van intrusies en testenafweer. In the hands of the UNK_SneakyStrike actor, however, it has become an effective engine for account compromise, as detailed in Proofpoint’s research.
The campaign underscores the blurring lines between the tools of cyber defense, as the abuse of legitimate applications and frameworks that can fly under the radar can bypass traditional security measures.
Anatomie van een moderne cloudaanval
De UNK_SneakyStrike-campagne is methodisch in de uitvoering ervan. De aanvallen zijn afkomstig van Amazon Web Services (AWS)-infrastructuur, waarbij dreigingsactoren systematisch servers roteren in verschillende geografische regio’s-voornamelijk de Verenigde Staten (42%), Ierland (11%) en Groot-Brittannië (8%)-om golven van wachtwoordspuitpogingen te lanceren. Deze techniek maakt het kwaadaardige verkeer aanzienlijk moeilijker te blokkeren op basis van IP-adressen alleen.
Voordat de aanvallers de wachtwoordspray starten, gebruiken de aanvallers de opsommingsfunctie van de TeamFiltration Tool om het bestaan van gebruikersaccounts binnen een doelorganisatie te verifiëren. Volgens de analyse van ProofPoint wordt dit bereikt door de Microsoft-teams API te misbruiken via een”offer”of wegwerp Office 365-account, waardoor ze geldige doelen kunnen identificeren zonder onmiddellijke alarmen te verhogen.
De activiteit van de campagne wordt gekenmerkt door zeer geconcentreerde bursts van aanvallen op een enkele cloud-tenant, gevolgd door stille periodes tot vijf dagen, waarschijnlijk een tactisch voor de beveiligingssystemen.
Een tool draaide wapen
Het teamfiltratiekader werd niet geboren als een kwaadaardig hulpmiddel. Volgens een blogpost door zijn makers van augustus in augustus manier om moderne accountovername-scenario’s te simuleren.
De functies omvatten geavanceerde gegevensuitvoeringen en de mogelijkheid om automatisch IP-adressen te roteren met behulp van diensten zoals FireProx, waardoor het een krachtige, publiek toegankelijke offensieve beveiligingsinstrument is.
onderscheid maken tussen de unk_sneakyStrike-campagne van legitieme penetratietests. Onderzoekers identificeerden de activiteit door een onderscheidende en verouderde gebruikersagent-string die in de tool is te zien te zien.
Verder onderzoek bleek dat de aanvallen consequent een specifieke lijst van Microsoft OAuth-client-toepassings-ID’s hadden gericht. This method is used to obtain special “family refresh tokens”from Entra ID, which can then be exchanged for valid access tokens for other connected services like Outlook and OneDrive, dramatically expanding the attacker’s foothold from a single compromised account.
A Persistent and Evolving Threat
This campaign is the latest in a series of significant cyber events targeting the Microsoft Ecosysteem, vaak met vergelijkbare technieken. Het volgt de grote inbreuk uit 2024 door de door de Russische gesteunde groep”Midnight Blizzard.”
Terwijl de eerste openbaarmaking van de inbreuk was gericht op het compromis van uitvoerende e-mails, onthulde Microsoft later in een beveiligingsupdate dat de indringing veel ernstiger was, met aanvallers die toegang hebben tot de broncode van het bedrijf. Dat incident, zoals unk_sneakyStrike, vertrouwde ook zwaar op wachtwoordsprayaanvallen.
De bewapening van beveiligingshulpmiddelen is ook een terugkerend thema. Een rapport uit 2022 gedetailleerd hoe bedreigingsactoren Microsoft SQL-servers richtten met zwakke wachtwoorden om backdoors te installeren met behulp van Cobalt Strike, nog een populaire penetratietesttool.
Meer recent zag een afzonderlijke campagne een BotNet-aanval die de Microsoft Dynamics 365 Customer Customer Customer Voice Enterprise Feedment Management Application to Deceive Users en Steal hun login-crediteur zag, inclusief bypassing van Multi-Factor Creditation, inclusief bypassing van Multi-Factor Creditation, inclusief bypassing van Multi-Factor Creditation, inclusief bypassing van Multi-Factor Creditation, inclusief bypassing van Multi-Factor Credition, inclusief bypassing van Multi-Factor Credition, inclusief bypassing van Multi-Factor-crediteur. (MFA). De aanval vormt een belangrijke bedreiging voor het grote aantal organisaties wereldwijd die afhankelijk zijn van Microsoft 365 en Dynamics 365 voor bedrijfsactiviteiten.
Deze trend van het exploiteren van geautomatiseerde processen en authenticatiekloven versnelt, met een recent beveiligingstrendsrapport van rsa beveiliging die een stijging van een AI-gedreven wachtwoord spuit in 2025 zoals de rapport door Ahn Lab’s ASEC Group Opgemerkt in de Cobalt Strike-aanvallen in 2022, is het doel om te werken waar u het minst verwacht.”Aangezien het baken dat het commando van de aanvaller ontvangt en het kwaadaardige gedrag uitvoert, niet bestaat in een verdacht geheugengebied en in plaats daarvan werkt in de normale module WWANMM.DLL, kan het op geheugen gebaseerde detectie omzeilen.”
De opkomst van geavanceerde, openbaar beschikbare tools zoals teamfiltratie heeft de barrière voor het invoeren van ingang voor het invoeren van een ingang van de geleidelijke aanvallen, effectieve aanvallen, effectieve aanvallen, effectieve aanvallen, effectieve aanvallen, effectieve aanvallen, effectieve aanvallen, effectief aangevallen, effectief aangevallen, effectief aangevallen, effectief aangevallen. Terwijl dreigingsactoren deze methoden blijven aannemen en verfijnen, is de uitdaging voor verdedigers niet langer alleen over het blokkeren van bekende malware, maar over het subtiele misbruik van legitieme systemen en protocollen.
Terwijl tools zoals teamfiltratie zijn ontworpen om te helpen bij het testen en gevestigde actoren van de dreigingen. voet aan de grond.