Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Масштабные атаки на Microsoft Entra ID

1 мин
Изображение: recraft Компания Proofpoint представила исследование, в котором зафиксировала масштабную волну атак на пользователей Microsoft Entra ID, ранее известного как Azure AD. Кампания, получившая название UNK_SneakyStrike, активизировалась в декабре 2024 года и достигла пика уже в январе 2025-го. По данным аналитиков, в зоне атаки оказались свыше 80 тыс. учётных записей из примерно 100 облачных арендаторов. Злоумышленники применяют фреймворк TeamFiltration — инструмент, изначально предназначенный для пентестинга, но в этом случае использованный в противоправных целях. Его возможности позволяют не только находить действующие учётные записи, но и подбирать к ним пароли из распространённых словарей, а также загружать вредоносные файлы в облачное хранилище OneDrive и извлекать доступную конфиденциальную информацию. Атаки проводятся с помощью учётной записи Microsoft 365, оформленной с действующей лицензией Business Basic. Для автоматизации операций использованы API Microsoft Teams и

Изображение: recraft

Компания Proofpoint представила исследование, в котором зафиксировала масштабную волну атак на пользователей Microsoft Entra ID, ранее известного как Azure AD. Кампания, получившая название UNK_SneakyStrike, активизировалась в декабре 2024 года и достигла пика уже в январе 2025-го. По данным аналитиков, в зоне атаки оказались свыше 80 тыс. учётных записей из примерно 100 облачных арендаторов.

Злоумышленники применяют фреймворк TeamFiltration — инструмент, изначально предназначенный для пентестинга, но в этом случае использованный в противоправных целях. Его возможности позволяют не только находить действующие учётные записи, но и подбирать к ним пароли из распространённых словарей, а также загружать вредоносные файлы в облачное хранилище OneDrive и извлекать доступную конфиденциальную информацию.

Атаки проводятся с помощью учётной записи Microsoft 365, оформленной с действующей лицензией Business Basic. Для автоматизации операций использованы API Microsoft Teams и облачная инфраструктура Amazon Web Services, что позволяет инициировать запросы из разных стран и обходить стандартные механизмы обнаружения подозрительной активности.

По данным исследователей, злоумышленники действуют по следующей схеме:

  • сначала проверяются существующие имена пользователей в целевой организации;
  • затем к ним последовательно подбираются пароли по наиболее распространённым шаблонам;
  • после успешного входа извлекаются документы, доступные в среде Entra ID;
  • на следующем этапе загружаются вредоносные файлы, которые заменяют оригинальные и обеспечивают постоянный доступ, а также возможность перемещения внутри сети.

Получив контроль, атакующие используют учётные записи для сбора внутренней информации, потенциально включая переписку, документы и конфиденциальные отчёты. По словам специалистов Proofpoint, масштаб и продуманность атак говорят о растущем уровне автоматизации в работе злоумышленников.

Оригинал публикации на сайте CISOCLUB: "Proofpoint: продолжающаяся кампания захвата учётных записей Entra ID ведётся через легитимный инструмент пентестинга TeamFiltration".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.