Los investigadores de seguridad cibernética han descubierto una nueva campaña de adquisición de cuentas (ATO) que aprovecha un ámbito de prueba de penetración de código hendido llamado TeamFiltration para violar las cuentas de afortunado de Microsoft Entra ID (anteriormente Azure Active Directory).
La actividad, con código codificado Unk_sneakystrike Por Proofpoint, ha afectado a más de 80,000 cuentas de usuarios específicas en cientos de inquilinos en la estrato de las organizaciones desde que se observó un aumento en los intentos de inicio de sesión en diciembre de 2024, lo que llevó a adquisiciones de cuentas exitosas.
«Los atacantes aprovechan a los servidores de API y Amazon Web Services (AWS) de Microsoft Teams ubicados en varias regiones geográficas para difundir intentos de envoltorio de usuarios y apiñadas en contraseña», dijo la compañía de seguridad empresarial. «Los atacantes explotaron el ataque a bienes específicos y aplicaciones nativas, como equipos de Microsoft, OneDrive, Outlook y otros».
TeamFiltration, publicado públicamente por el investigador Melvin «Flangvik» Langvik, en agosto de 2022 en la Conferencia de Seguridad Def Con, se describe como un ámbito multiplataforma para «enumerar, pulverizar, exfiltrarse y traseros» cuentas de Entres Id «.
La utensilio ofrece amplias capacidades para suministrar la adquisición de la cuenta utilizando ataques de pulverización de contraseña, exfiltración de datos y ataque persistente al cargar archivos maliciosos a la cuenta de Microsoft OneDrive del objetivo.
Si admisiblemente la utensilio requiere una cuenta de Amazon Web Services (AWS) y una cuenta desechable de Microsoft 365 para suministrar la pulverización de contraseñas y las funciones de enumeración de la cuenta, Proofpoint dijo que observó evidencia de actividad maliciosa que aprovechó la filtración de equipo para realizar estas actividades de modo que cada onda de pulverización de contraseña se origina de un servidor diferente en una nueva ubicación geográfica.
Las tres geografías de fuentes principales vinculadas a la actividad maliciosa en función del número de direcciones IP incluyen los Estados Unidos (42%), Irlanda (11%) y Gran Bretaña (8%).
La actividad Unk_Sneakystrike se ha descrito como «intentos de enumeración de usuarios a gran escalera y pulverización de contraseñas», con los esfuerzos de ataque no autorizados que ocurren en «ráfagas en gran medida concentradas» dirigidas a varios usuarios adentro de un entorno de una sola estrato. Esto es seguido por una pausa que dura de cuatro a cinco días.
Los hallazgos resaltan una vez más cómo las herramientas diseñadas para ayudar a los profesionales de seguridad cibernética pueden ser mal utilizados por los actores de amenazas para aguantar a extremidad una amplia tonalidad de acciones nefastas que les permiten violar las cuentas de los usuarios, cosechar datos confidenciales y establecer puntos de apoyo persistentes.
«La organización de orientación de Unk_Sneakystrike sugiere que intentan lograr a todas las cuentas de usuarios adentro de los inquilinos de la estrato más pequeños mientras se centran solo en un subconjunto de usuarios en inquilinos más grandes», dijo Proofpoint. «Este comportamiento coincide con las características de adquisición de objetivos avanzados de la utensilio, diseñadas para filtrar cuentas menos deseables».
