Një fushatë e përhapur kibernetike ka synuar mbi 80,000 llogari të përdoruesve në qindra organizata duke shndërruar një mjet të disponueshëm publikisht në një armë në një armë për sulme në shkallë të gjerë. Sipas hulumtimeve nga firma e sigurisë në internet Proofpoint, fushata, e quajtur”Unk_sneakystrike,”Leverage një kornizë të testimit të depërtimit për të ekzekutuar sulme të përhapura me fjalëkalim të përhapur kundër Microsoft Entra ID ID, duke rezultuar në një kërcënim të shumëfishtë të llogarisë. Mjete legjitime të dizajnuara për profesionistët e sigurisë. Sulmuesit po përdorin një kornizë nga GitHub i quajtur TeamFiltration , e cila u krijua për të ndihmuar ekipet e sigurisë të simulojnë ndërhyrjet dhe mbrojtjet e provave. Në duart e aktorit unk_sneakystrike, megjithatë, ai është bërë një motor efektiv për kompromisin e llogarisë, siç detajohet në Anatomia e një sulmi modern në re
Fushata UNK_SNEAKYSTRIKE është metodike në ekzekutimin e saj. Sulmet burojnë nga infrastruktura e Shërbimeve të Uebit Amazon (AWS), me aktorë të kërcënimit që rrotullojnë sistematikisht serverë nëpër rajone të ndryshme gjeografike-kryesisht Shtetet e Bashkuara (42%), Irlanda (11%) dhe Britania e Madhe (8%)-për të filluar valë të përpjekjeve për spërkatjen e fjalëkalimit. Kjo teknikë e bën trafikun me qëllim të keq në mënyrë të konsiderueshme më të vështirë për tu bllokuar bazuar në adresat IP. Sipas analizës së Proofpoint, kjo realizohet duke abuzuar me API të ekipeve të Microsoft përmes një llogarie”sakrifikuese”ose të disponueshme të Office 365, duke i lejuar ata të identifikojnë objektiva të vlefshëm pa ngritur alarme të menjëhershme. Kuadri i Famshëm i Teamfiltration nuk lindi një mjet me qëllim të keq. Sipas një postim në blog nga krijuesit e saj Në TrustedSec, ajo filloi si një projekt i brendshëm në janar 2021 para se të ishte publikuar publikisht në Konferencën e Sigurisë në Def Con. Mënyra e fuqishme për të simuluar skenarët moderne të marrjes së llogarisë. Studiuesit e identifikuan aktivitetin duke zbuluar një varg të veçantë dhe të vjetëruar të agjentit të përdoruesit të koduar në mjet. Kjo metodë përdoret për të marrë”shenjat e rifreskimit të familjes”nga Entra ID, të cilat më pas mund të shkëmbehen për shenja të vlefshme për qasje për shërbime të tjera të lidhura si Outlook dhe OneDrive, duke zgjeruar në mënyrë dramatike themelin e sulmuesit nga një llogari e vetme e kompromentuar. Ekosistemi, shpesh që përfshin teknika të ngjashme. Pason shkeljen kryesore të vitit 2024 nga grupi i mbështetur nga Rusia”Midnight Blizzard”. href=”https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-ttate-actor-mnight-blizzard/”target=”_ bosh”> azhurnimi i sigurisë Një mjet i kthyer me armë
Armatimi i mjeteve të sigurisë është gjithashtu një temë e përsëritur. Një raport i vitit 2022 detajoi se si aktorët e kërcënimit synuan serverët e Microsoft SQL me fjalëkalime të dobëta për të instaluar backdoors duke përdorur Cobalt Strike, një tjetër mjet popullor i testimit të depërtimit. Sulmi paraqet një kërcënim të rëndësishëm për numrin e madh të organizatave globalisht që mbështeten në Microsoft 365 dhe Dynamics 365 për operacionet e biznesit. href=”https://www.rsa.com/wp-content/uploads/rsa-top-trends-in-identity-2025.pdf”target=”_ bosh”> RSA siguria që parashikon një ngritje të spërkatjes së fjalëkalimit të drejtuar nga AI përgjatë 2025 . Si nga Ahn Lab’s ASEC Group Vuri në dukje në sulmet e Strike Cobalt në 2022, qëllimi është të funksiononi aty ku pritet më pak.”Ndërsa fenerja që merr komandën e sulmuesit dhe kryen sjelljen me qëllim të keq nuk ekziston në një zonë me kujtesë të dyshimtë dhe në vend të kësaj operon në modulin normal WWANMM.DLL, ai mund të anashkalojë zbulimin e bazuar në kujtesë.”Ndërsa aktorët e kërcënimit vazhdojnë të adoptojnë dhe rafinojnë këto metoda, sfida për mbrojtësit nuk është më vetëm për të bllokuar malware të njohur, por për zbulimin e abuzimit delikate të sistemeve legjitime dhe protokolleve. Vendosni bazat e vazhdueshme.