Los investigadores de seguridad cibernética han descubierto una nueva campaña de adquisición de cuentas (ATO) que aprovecha un marco de pruebas de penetración de código abierto llamado Filtración de TeamFiltration que viola las cuentas de usuario de Microsoft Entra ID (anteriormente Azure Active Directory).
La actividad, con nombre en código Unk_Sneakytrike de Proofpoint, ha afectado a más de 80,000 cuentas de usuarios objetivo en cientos de inquilinos en la nube de las organizaciones desde que se observó un aumento en los intentos de inicio de sesión en diciembre de 2024, y ha adquirido con éxito la cuenta.
«Los atacantes lanzarán intentos de aprovechar los servidores de API de Microsoft Teams y Amazon Web Services (AWS) en varias regiones geográficas para rociar las aprobaciones y contraseñas de los usuarios», dijo Enterprise Security Company. «Los atacantes utilizaron el acceso a ciertos recursos y aplicaciones nativas, como equipos de Microsoft, OneDrive y Outlook».
TeamFiltration, publicado por el investigador Melvin «Franvik» Langvik en la Conferencia de Seguridad Def Con en agosto de 2022, se dice que es un marco multiplataforma para Enumeraciones de Enumeración, Pulverización, Exfoliación y Backdoor.
Esta herramienta ofrece una amplia gama de características para promover la adquisición de la cuenta utilizando ataques con contraseña, eliminación de datos y acceso permanente al cargar archivos maliciosos a la cuenta de Microsoft OneDrive de destino.
La herramienta requiere una cuenta de Amazon Web Services (AWS) y una cuenta desechable de Microsoft 365 para promover las capacidades de spray y de enumeración de la cuenta, pero Proofpoint dijo que ha aprovechado estas actividades para observar evidencia de actividad maliciosa para aprovechar estas actividades para que cada onda de pulverización de contraseña provenga de otro servidor en una nueva ubicación geografía.
Tres regiones de origen principales vinculadas a la actividad maliciosa en función del número de direcciones IP incluyen EE. UU. (42%), Irlanda (11%) y el Reino Unido (8%).
Unk_sneakyStrike Activity se conoce como «grandes intentos de enumeración de usuarios y spray de contraseña», y ha llevado a esfuerzos de acceso no autorizados dirigidos a múltiples usuarios dentro de un solo entorno en la nube con «altas ráfagas» dirigidas a múltiples usuarios. Esto es seguido por una pausa que dura 4-5 días.
Los hallazgos una vez más resaltan cómo las herramientas diseñadas para ayudar a los expertos en ciberseguridad pueden ser mal utilizados por acciones de amenazas.
«La estrategia de orientación de UNK_SNEAKYTRIKE sugiere que intentamos acceder a todas las cuentas de usuarios dentro de un pequeño inquilino en la nube, centrándonos solo en un subconjunto de usuarios en el inquilino más grande», dijo Proofpoint. «Este comportamiento coincide con las capacidades de orientación avanzada de las herramientas diseñadas para excluir cuentas no deseadas».
Source link
