Эксперты Proofpoint раскрыли масштабную вредоносную кампанию под названием UNK_SneakyStrike, направленную на захват учетных записей пользователей Microsoft Entra ID. С декабря 2024 года она затронула более 80 000 аккаунтов в различных организациях, что привело к успешным взломам и компрометации корпоративных ресурсов. В основе атак лежит использование платформы TeamFiltration, изначально созданной для легальных целей, но перепрофилированной злоумышленниками для масштабного взлома.
Механизм атак и ключевые цели злоумышленников
Команда исследователей установила, что для реализации атак злоумышленники задействуют API Microsoft Teams и инфраструктуру Amazon Web Services (AWS). Это позволяет им:
- перечислять пользователей в целевой среде;
- перебивать пароли с последующей компрометацией учетных записей;
- получать доступ к критически важным приложениям — Microsoft Teams, OneDrive, Outlook.
TeamFiltration используется для автоматизации этих процессов, облегчая эксфильтрацию данных и выполнение стратегий постоянного доступа. В частности, инструмент позволяет осуществлять «черный ход» через OneDrive — загрузку вредоносных файлов, закрепляющих присутствие злоумышленников в системе.
Особенности работы TeamFiltration и методы обнаружения
Платформа TeamFiltration, выпущенная в январе 2021 года, предназначена для тестирования безопасности, но сегодня злоумышленники всё активнее используют её в вредоносных целях. Proofpoint провели глубокий анализ публичной документации и файлов конфигурации TeamFiltration, что позволило выявить технические признаки атак:
- редкий пользовательский агент, связанный с устаревшей версией Microsoft Teams, используемый в атакующих запросах;
- методы подмены user-agent для сокрытия источника вторжения;
- требование наличия аккаунта AWS и так называемой «жертвенной» учетной записи Office 365 для сбора данных.
Присутствие необычных признаков активности в легитимных средах вместе со злоумышленными действиями указывает на нарушение нормального функционирования систем и использование TeamFiltration для атаки.
Стратегия и динамика атак UNK_SneakyStrike
Анализ активности показал, что злоумышленники проводят концентрированные атаки на большое количество учетных записей в определённых облачных средах, после чего следует период затишья — вероятно, для оценки результата и планирования дальнейших действий. В последних обновлениях TeamFiltration добавлен метод перечисления в OneDrive, что расширяет возможности злоумышленников по закреплению доступа.
Исследователи отмечают, что подобные кампании отражают более широкую тенденцию:
- перепрофилирование инструментов Pentest для вредоносной активности;
- использование сложных автоматизированных платформ для крупномасштабных атак;
- извлечение конфиденциальных данных и поддержание постоянного доступа к корпоративным системам.
Выводы и рекомендации
Proofpoint подчеркивает, что использование таких инструментов, как TeamFiltration, киберпреступниками требует повышения уровня бдительности в организациях. Автоматизация инструментов тестирования проникновения делает их привлекательными не только для специалистов по безопасности, но и для злоумышленников, стремящихся масштабировать атаки.
_Постоянный мониторинг необычной активности, анализ пользовательских агентов и контроль доступа к критическим облачным ресурсам — ключевые меры защиты против подобных угроз._
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "UNK_SneakyStrike: масштабные атаки с использованием TeamFiltration".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.