Sofisticirana kampanja sajber napada iskoristila je legitimni okvir za testiranje penetracije kako bi kompromitovala hiljade Microsoftovih naloga u oblaku u stotinama organizacija širom svijeta. Maliciozna operacija, označena kao UNK_SneakyStrike, koristi TeamFiltration, popularan alat za sajber bezbjednost, prvobitno dizajniran za procjene sigurnosti Officea 365, kako bi izvela napade velikih razmjera na ciljanje Microsoft Teams, OneDrive, Outlook i drugih poslovnih aplikacija radi preuzimanja naloga.
TeamFiltration se pojavio u januaru 2021. godine kao robustan okvir koji su kreirali stručnjaci za prijetnje i javno objavljen na DefCon30. Alat je prvobitno bio namijenjen pomaganju stručnjacima za sigurnost u simuliranju upada u okruženja u cloud, nudeći mogućnosti za preuzimanje naloga Office 365 Entra ID, izdvajanje podataka i uspostavljanje trajnog pristupa. Međutim, poput mnogih sigurnosnih alata dvostruke namjene, TeamFiltration je sada ponovo upotrijebljen od strane sajber kriminalaca za izvođenje neovlašćenih napada na legitimne organizacije.
Kampanja UNK_SneakyStrike započela je svoje operacije u decembru 2024. godine, s aktivnostima koje su dosegle vrhunac u januaru 2025. godine. Istraživači iz Proofpointa identifikovali su malicioznu upotrebu TeamFiltrationa kroz pažljivu analizu prepoznatljivih karakteristika alata i obrazaca napada. Od početka kampanje, hakeri su ciljali preko 80.000 korisničkih naloga u otprilike 100 cloud tenantima, što je rezultovalo višestrukim uspješnim kompromisima naloga.
Napadači koriste napredne mogućnosti TeamFiltrationa za izvođenje sistematskog izviđanja korisnika i napada “password spraying”. Okvir koristi Microsoft Teams API i infrastrukturu Amazon Web Services (AWS) raspoređenu u više geografskih regija, s većinom zlonamjernog prometa koji potječe iz Sjedinjenih Država (42%), Irske (11%) i Velike Britanije (8%). Ovaj distribuirani pristup pomaže napadačima da izbjegnu otkrivanje, istovremeno održavajući operativnu otpornost.
Tehnička sofisticiranost UNK_SneakyStrike-a leži u iskorištavanju Microsoftovog ekosistema OAuth klijentskih aplikacija. TeamFiltration cilja specifične klijentske aplikacije koje pripadaju Microsoftovoj grupi “family refresh token”, omogućavajući napadačima da dobiju posebne autentifikacijske tokene koji se mogu razmjenjivati preko više Microsoftovih usluga. Konfiguracija okvira otkriva unaprijed definiranu listu ciljanih aplikacija, uključujući Microsoft Teams, Microsoft Azure CLI, OneDrive SyncEngine i Microsoft Office.
Analitičari Proofpointa primijetili su da napadači održavaju trajnost kroz tehniku “backdooringa” putem OneDrive-a, prebacujući maliciozne datoteke u ciljna okruženja i zamjenjujući legitimne desktop datoteke malicioznih replikama. Obrazac napada kampanje uključuje visoko koncentrirane burstove ciljanja više korisnika unutar pojedinačnih okruženja u cloud-u, nakon čega slijede periodi mirovanja koji traju četiri do pet dana. Ovaj taktički pristup, u kombinaciji sa sistematskim rotiranjem AWS regija, demonstrira sofisticirano razumijevanje hakera tehnika izbjegavanja otkrivanja i upravljanja infrastrukturom.
Upozorenje o ovoj kampanji objavljeno je na blogu kompanije Proofpoint, pružajući detaljan uvid u tehničke aspekte napada i strategije koje su koristili sajber kriminalci. Ova informacija je ključna za organizacije koje se oslanjaju na Microsoftove usluge u cloud-u kako bi poboljšale svoje sigurnosne protokole i zaštitile se od ovakvih sofisticiranih prijetnji. Metodologija napada se može opisati kao dvostruka upotreba legitimnog alata, gdje se izvorna namjena za sigurnosno testiranje izokreće u alat za počinjenje zločina. Napadači, koristeći TeamFiltration, sistematski ciljaju korisnike i pokušavaju dobiti pristup njihovim računima, što im omogućava da ugroze osjetljive podatke i potencijalno ometaju poslovanje pogođenih organizacija.
