Pesquisadores de cibersegurança descobriram uma nova campanha de take over de contas (ATO) que utiliza um framework de teste de penetração de código aberto chamado TeamFiltration para violar contas de usuários do Microsoft Entra ID (anteriormente Azure Active Directory).
A atividade, codinomeada UNK_SneakyStrike pela Proofpoint, atingiu mais de 80.000 contas de usuários em centenas de tenants de nuvem de organizações desde que um aumento nas tentativas de login foi observado em dezembro de 2024, levando ao sucesso no take over das contas.
"Os atacantes utilizam a API do Microsoft Teams e servidores da Amazon Web Services (AWS) localizados em várias regiões geográficas para lançar tentativas de enumeração de usuários e password spraying," disse a empresa de segurança empresarial.
Os atacantes exploraram acesso a recursos específicos e aplicações nativas, como Microsoft Teams, OneDrive, Outlook, entre outros.
TeamFiltration, publicamente liberado pelo pesquisador Melvin "Flangvik" Langvik, em agosto de 2022 na conferência de segurança DEF CON, é descrito como um framework cross-platform para "enumerar, pulverizar senhas, exfiltrar e backdoor" em contas do Entra ID.
A ferramenta oferece capacidades extensivas para facilitar o take over de contas usando ataques de password spraying, exfiltração de dados e acesso persistente ao fazer upload de arquivos maliciosos na conta Microsoft OneDrive do alvo.
Embora a ferramenta requeira uma conta da Amazon Web Services (AWS) e uma conta Microsoft 365 descartável para facilitar as funções de password spraying e enumeração de contas, a Proofpoint disse que observou evidências de atividade maliciosa utilizando o TeamFiltration para realizar essas atividades de modo que cada onda de password spraying origina-se de um servidor diferente em uma nova localização geográfica.
As três principais geografias fonte ligadas à atividade maliciosa com base no número de endereços IP incluem os Estados Unidos (42%), Irlanda (11%) e Grã-Bretanha (8%).
A atividade UNK_SneakyStrike foi descrita como "tentativas de enumeração de usuários e password spraying em grande escala," com os esforços de acesso não autorizado ocorrendo em "rajadas altamente concentradas" visando vários usuários dentro de um único ambiente de nuvem.
Isso é seguido por um período de calmaria que dura de quatro a cinco dias.
Os achados ressaltam novamente como ferramentas projetadas para auxiliar profissionais de cibersegurança podem ser mal utilizadas por agentes de ameaças para realizar uma vasta gama de ações nefastas que permitem violar contas de usuários, colher dados sensíveis e estabelecer pontos de apoio persistentes.
"A estratégia de mira do UNK_SneakyStrike sugere que tentam acessar todas as contas de usuários dentro de tenants de nuvem menores enquanto focam apenas em um subconjunto de usuários em tenants maiores," disse a Proofpoint.
"Este comportamento corresponde às características avançadas de aquisição de alvos da ferramenta, projetadas para filtrar contas menos desejáveis."
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...