Hackers têm utilizado o framework de pentesting TeamFiltration para mirar em mais de 80.000 contas Microsoft Entra ID em centenas de organizações ao redor do mundo.
A campanha começou em dezembro do último ano e conseguiu sequestrar várias contas, afirmam pesquisadores da empresa de cibersegurança Proofpoint, que atribuem a atividade a um ator de ameaça chamado UNK_SneakyStrike.
Segundo os pesquisadores, o auge da campanha ocorreu em 8 de janeiro, quando mirou em 16.500 contas em um único dia.
Estes picos agudos foram seguidos por vários dias de inatividade.
TeamFiltration é um framework cross-platform para enumeração, spraying, exfiltração e backdoor de contas O365 EntraID.
Foi publicado em 2022 por Melvin Langvik, pesquisador da equipe red-team da TrustedSec.
Na campanha UNK_SneakyStrike observada pela Proofpoint, o TeamFiltration desempenha um papel central em facilitar tentativas de intrusão em larga escala.
Os pesquisadores relatam que o ator de ameaça mira todos os usuários em inquilinos pequenos, enquanto no caso de inquilinos maiores, UNK_SneakyStrike seleciona apenas usuários de um subset.
"Desde dezembro de 2024, a atividade do UNK_SneakyStrike afetou mais de 80.000 contas de usuários visadas através de centenas de organizações, resultando em vários casos de tomada de conta bem-sucedida", explica a Proofpoint.
Os pesquisadores vincularam a atividade maliciosa ao TeamFiltration após identificarem um agente de usuário raro que a ferramenta usa, além de coincidir com IDs de cliente OAuth codificados na lógica da ferramenta.
Outros sinais reveladores incluem padrões de acesso a aplicações incompatíveis e a presença de um snapshot desatualizado do projeto FOCI da Secureworks embutido no código do TeamFiltration.
Os atacantes usaram servidores AWS em várias regiões para lançar os ataques e utilizaram uma conta 'sacrificial' Office 365 com uma licença Business Basic para abusar da API do Microsoft Teams para enumeração de contas.
A maior parte dos ataques tem origem em endereços IP localizados nos Estados Unidos (42%), seguidos pela Irlanda (11%) e pelo Reino Unido (8%).
As organizações devem bloquear todos os IPs listados na seção de indicadores de comprometimento do Proofpoint e criar regras de detecção para a string do agente de usuário do TeamFiltration.
Além disso, é recomendado habilitar a autenticação multi-fator para todos os usuários, impor OAuth 2.0 e usar políticas de acesso condicional no Microsoft Entra ID.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...