Pesquisadores de cibersegurança descobriram uma nova campanha de take over de contas (ATO) que utiliza um framework de teste de penetração de código aberto chamado TeamFiltration para violar contas de usuários do Microsoft Entra ID (anteriormente Azure Active Directory).
A atividade, codinomeada UNK_SneakyStrike pela Proofpoint, atingiu mais de 80.000 contas de usuários em centenas de tenants de nuvem de organizações desde que um aumento nas tentativas de login foi observado em dezembro de 2024, levando ao sucesso no take over das contas.
"Os atacantes utilizam a API do Microsoft Teams e servidores da Amazon Web Services (AWS) localizados em várias regiões geográficas para lançar tentativas de enumeração de usuários e password spraying," disse a empresa de segurança empresarial.
Os atacantes exploraram acesso a recursos específicos e aplicações nativas, como Microsoft Teams, OneDrive, Outlook, entre outros.
TeamFiltration, publicamente liberado pelo pesquisador Melvin "Flangvik" Langvik, em agosto de 2022 na conferência de segurança DEF CON, é descrito como um framework cross-platform para "enumerar, pulverizar senhas, exfiltrar e backdoor" em contas do Entra ID.
A ferramenta oferece capacidades extensivas para facilitar o take over de contas usando ataques de password spraying, exfiltração de dados e acesso persistente ao fazer upload de arquivos maliciosos na conta Microsoft OneDrive do alvo.
Embora a ferramenta requeira uma conta da Amazon Web Services (AWS) e uma conta Microsoft 365 descartável para facilitar as funções de password spraying e enumeração de contas, a Proofpoint disse que observou evidências de atividade maliciosa utilizando o TeamFiltration para realizar essas atividades de modo que cada onda de password spraying origina-se de um servidor diferente em uma nova localização geográfica.
As três principais geografias fonte ligadas à atividade maliciosa com base no número de endereços IP incluem os Estados Unidos (42%), Irlanda (11%) e Grã-Bretanha (8%).
A atividade UNK_SneakyStrike foi descrita como "tentativas de enumeração de usuários e password spraying em grande escala," com os esforços de acesso não autorizado ocorrendo em "rajadas altamente concentradas" visando vários usuários dentro de um único ambiente de nuvem.
Isso é seguido por um período de calmaria que dura de quatro a cinco dias.
Os achados ressaltam novamente como ferramentas projetadas para auxiliar profissionais de cibersegurança podem ser mal utilizadas por agentes de ameaças para realizar uma vasta gama de ações nefastas que permitem violar contas de usuários, colher dados sensíveis e estabelecer pontos de apoio persistentes.
"A estratégia de mira do UNK_SneakyStrike sugere que tentam acessar todas as contas de usuários dentro de tenants de nuvem menores enquanto focam apenas em um subconjunto de usuários em tenants maiores," disse a Proofpoint.
"Este comportamento corresponde às características avançadas de aquisição de alvos da ferramenta, projetadas para filtrar contas menos desejáveis."
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...