Napadači koriste TeamFiltration pentesting alat za brute-force napade na Microsoft Entra ID (ranije poznat kao Azure AD) naloge, otkrili su istraživači iz Proofpoint-a.
„Istraživanje Proofpoint-a pokazuje da su simulirani upadi korištenjem TeamFiltration alata prisutni skoro od njegovog prvog izdanja 2021. godine, ali da je nedavno došlo do naglog porasta pokušaja prijavljivanja povezanih s njegovom upotrebom“, naveli su istraživači.
„Ovaj porast aktivnosti, koji se pripisuje kampanji UNK_SneakyStrike, započeo je u decembru 2024. i dostigao vrhunac u januaru 2025. Do sada je više od 80.000 korisničkih naloga unutar otprilike 100 cloud okruženja (organizacija) bilo meta, pri čemu je došlo do više uspješnih preuzimanja naloga.“
Kako napadači koriste TeamFiltration
TeamFiltration je legitiman alat za penetracijsko testiranje, ali kao i mnogi slični alati, često ga zloupotrebljavaju napadači u zlonamjerne svrhe.
Ovaj alat omogućava:
- Identifikaciju važećih korisničkih naloga unutar ciljanog okruženja
- Kombinovanje pronađenih korisničkih imena s čestim lozinkama radi testiranja pristupa
- Izvlačenje podataka i fajlova kojima ciljani korisnici Entra ID imaju pristup
- Postavljanje zlonamjernih fajlova na OneDrive korisnika i zamjenu postojećih fajlova s lažnim, zaraženim verzijama (što omogućava trajan pristup i lateralno kretanje kroz mrežu)
Napadači su napravili Microsoft 365 korisnički nalog s važećom Microsoft 365 Business Basic licencom, i koriste Microsoft Teams API i Amazon Web Services (AWS) servere kako bi potvrdili postojanje korisničkih naloga i sproveli password spraying napade s različitih geografskih lokacija.
Nakon uspješnog preuzimanja naloga, koriste stečeni pristup za krađu osjetljivih podataka.
Kako se zaštititi od pokušaja preuzimanja Entra ID naloga
„Neovlašteni pokušaji pristupa povezani s kampanjom UNK_SneakyStrike obično se dešavaju u intenzivnim naletima. Većina tih naleta cilja širok spektar korisnika unutar jednog cloud okruženja, nakon čega slijedi pauza od četiri do pet dana“, navode istraživači.
„Strategija ciljanog napada ukazuje na to da pokušavaju pristupiti svim nalozima u manjim cloud okruženjima, dok se u većim fokusiraju samo na odabrani dio korisnika. Ovo ponašanje odgovara naprednim mogućnostima alata za odabir ciljeva, koje filtriraju manje vrijedne naloge.“
Analitičari su objavili indikatore kompromitacije (IoC) povezane s ovim napadima i savjetuju IT sigurnosnim timovima da provjere jesu li neki od njihovih naloga kompromitovani.
U zavisnosti od privilegija koje kompromitovani nalog ima i načina na koji je integrisan u organizacijsku cloud infrastrukturu, kompromitovani Entra ID nalog može predstavljati ozbiljnu prijetnju.
Ako se radi o visoko privilegovanom nalogu, napadači mogu:
- Resetovati lozinke drugim korisnicima
- Mijenjati uslove pristupa (Conditional Access policies)
- Onemogućiti višefaktorsku autentifikaciju (MFA) ili druge sigurnosne kontrole
- Brisati audit logove i još mnogo toga
Preporuke za zaštitu
- Svi Entra ID nalozi trebaju imati jake i jedinstvene lozinke
- Treba koristiti višefaktorsku autentifikaciju (MFA)
- Svi pokušaji prijave treba da se nadgledaju, loguju i redovno pregledaju
- Implementirati Conditional Access politike
- Aktivirati Identity Protection radi blokiranja rizičnih prijava
- Deaktivirati neaktivne naloge
Izvor:Help Net Security