Rozległa kampania cybernetyczna była ukierunkowana na ponad 80 000 kont użytkowników w setkach organizacji, przekształcając publicznie dostępne narzędzie bezpieczeństwa cybernetycznego w broń do ataków na dużą skalę. Według badań Firm Cyberbezpieczeństwa Proofpoint, kampania, nazwana „unk_sneakystrike”, wykorzystuje ramy testowania penetracji, aby wykonać powszechne ataki spowolnienia hasła na środowiska Microsoft Entra ID, co powoduje wiele udanych przejęć konta.
Rozpoczęło się w grudniu 2024 r., A szczytowe na początku 2025 r., Co znaczące zagrożenia: złośliwe. Uzasadnione narzędzia zaprojektowane dla specjalistów ds. Bezpieczeństwa. Atakerzy używają ramy z github o nazwie teamfiltracja , która została utworzona w celu pomocy zespołom bezpieczeństwa symulacji ingerencji i przetestowania obrony. Jednak w rękach aktora UNK_SNEAKYSTRIKE stał się on skutecznym silnikiem dla kompromisu konta, jak szczegółowo opisano w Kampania podkreśla rozmyte linie między narzędziami obrony cybernetycznej, ponieważ nadużycie legalnych aplikacji i ram, które mogą latać pod radarem, może ominąć tradycyjne środki bezpieczeństwa.
Narzędzie Turn Broń
Ramy Filtracji Team nie narodziło się złośliwym narzędziem. Według wpis na blogu jego twórców w trustedsec, to zaczął się jako projekt wewnętrzny w styczniu 2021 r., Zanim jest publicznie wydana w konferencji zabezpieczającej def con w sierpniu. Potężny sposób symulacji nowoczesnych scenariuszy przejęcia konta.
Jego funkcje obejmują zaawansowaną exfiltrację danych oraz możliwość automatycznego obracania adresów IP za pomocą usług takich jak FireProx, co czyni je silnymi, publicznie dostępnymi narzędziem bezpieczeństwa ofensywnego.
Rozróżnienie UNK_SNeakStrike od legalnej strony penetracji. Naukowcy zidentyfikowali tę aktywność, dostrzegając charakterystyczny i przestarzały ciąg agentów użytkownika zaostrzonego w narzędziu.
Dalsze badanie ujawniło, że ataki konsekwentnie ukierunkowały określoną listę identyfikatorów aplikacji klienta Microsoft Oauth. Ta metoda służy do uzyskania specjalnych „tokenów odświeżania rodziny” z ID Entra, które można następnie wymienić na prawidłowe tokeny dostępu do innych połączonych usług, takich jak Outlook i OneDrive, radykalne rozszerzenie pozycji atakującego z pojedynczego naruszenia konta.
trwałe i ewoluujące zagrożenie
To najnowsze konto znaczącego cybera. ekosystem, często obejmujący podobne techniki. Wynika to z głównego naruszenia 2024 przez grupę wspieraną przez rosyjską „Midnight Blizzard.”
Podczas gdy początkowe ujawnienie naruszenia koncentrowało się na kompromisie e-maili wykonawczych, Microsoft później ujawnił w aktualizacja bezpieczeństwa że intruzja była znacznie silniejsza, a osoby atakujące i ukośnie kod źródłowego. Ten incydent, podobnie jak unk_sneakystrike, również polegał również na atakach natryskowych haseł.
Broń narzędzi bezpieczeństwa jest również powtarzającym się tematem. W raporcie 2022 szczegółowo opisano, w jaki sposób aktorzy zagrożeń celowały w serwery Microsoft SQL o słabych hasłach, aby zainstalować backdoors za pomocą Strike Cobalt, kolejne popularne narzędzie do testowania penetracji.
Niedawno osobna kampania widziała atak botnetu aktywnie wykorzystujący Microsoft Dynamics 365 Klient Voice Management Aplication, aby zaburzyć użytkowników i ukraść ich logowanie, w tym obsługującą multi-faktorię (MFA). Atak stanowi znaczące zagrożenie dla ogromnej liczby organizacji na całym świecie, które opierają się na Microsoft 365 i Dynamics 365 dla operacji biznesowych.
Ta trend wykorzystywania zautomatyzowanych procesów i luk uwierzytelniania jest przyspieszający, z ostatnim raportem trendów bezpieczeństwa z rsa bezpieczeństwo przewidujące wzrost hasła napędzanego przez AI przez 2025 .
Te zaawansowane narzędzia są zaprojektowane do stowarzyszenia; Jako raport Ahhn Lab ASEC zauważono w atakach strajku na kobalcie w 2022 r. „Ponieważ latarnia, która odbiera polecenie atakującego i wykonuje złośliwe zachowanie, nie istnieje w podejrzanym obszarze pamięci i zamiast tego działa w normalnym module Wwanmm.dll, może ominąć wykrywanie oparte na pamięci.”
Wzrost wyrafinowanych, dostępnych publicznie narzędzi, takich jak Filtracja zespołu, obniżyła barierę do wprowadzania warstwy, w celu uzyskania środków chmurowych. Ponieważ aktorzy zagrożeni nadal przyjmują i udoskonalają te metody, wyzwanie dla obrońców nie polega już na blokowaniu znanego złośliwego oprogramowania, ale wykrywanie subtelnego nadużywania legalnych systemów i protokołów.
Podczas gdy narzędzia takie jak Filtration Team Filtration są zaprojektowane w celu wspierania praktyków bezpieczeństwa cybernetycznego w testowaniu i ulepszaniu rozwiązań obronnych, można je łatwo uzupełnić przez aktorów zagrożenia, aby wykorzystywać rachunki użytkownika, exfiltrującej danych i rozstrzygania danych i rozstrzygania danych i rozwiązywania danych i rozwiązywania danych. trwałe przyczółki.