Хакерска група, известна като UNK_SneakyStrike, използва платформа с отворен код за тестове на проникване, наречена TeamFiltration, за да атакува профилите на над 80 000 потребители на Microsoft Entra ID (познати също като Azure AD) по целия свят.
Според специалистите по киберсигурност на Proofpoint, атаките са стартирали още през декември 2024 г. и досега са засегнали множество организации — главно средни и големи компании. В най-активната точка на атаките, на 8 януари, са били засегнати около 16 500 профила наведнъж.
TeamFiltration представлява платформа с всички необходими функции за масово профилиране, проникване и компрометиране на акаунти в Microsoft Entra ID. Рамката позволява на нападателите да събират информация за потребителите, да изпробват пароли (spraying) и да създават задни врати с високо ниво на точност.
Proofpoint потвърди, че при наблюдаваните атаки групата UNK_SneakyStrike използва уникалната платформа, за да проникне в профилите на всички потребители при по-малките организации, а при по-големите – да концентрира усилията си върху ограничен набор сметки.
Необичайно поведение като:
✅ Редки User-Agent стойности, уникални за TeamFiltration
✅ Вграден стар image на FOCI проекта на TrustedSec
✅ Твърдо зададени (hardcoded) OAuth Client IDs
✅ Аномалии при достъпа до приложения, с които профилите изобщо не работят
… всичко това подсказа на специалистите, че зад атаките стои именно TeamFiltration.
Групата UNK_SneakyStrike използва служебен профил с лицензиран Microsoft 365 Business Basic, за да премине легитимно всички контроли на Microsoft Teams API и да събере информация за потребителите. Чрез AWS сървъри, разположени в различни региони — главно САЩ (42%), Ирландия (11%) и Великобритания (8%) — нападателите стартират концентрирани серии на атаки с интервали на покой, с цел да избегнат засичането.
Proofpoint съветва всички организации да:
✅ Въведат многофакторно удостоверяване (MFA) за всички профили.
✅ Зададат правила с Conditional Access, с които да контролират кой и при какви условия може да влиза.
✅ Реализират OAuth 2.0 механизми за по-надеждна защита на приложната среда.
✅ Включат правила за засичане на уникалната TeamFiltration User-Agent стойност.
✅ Блокират всички IP адреси, включени в публикувания списък с IOC (индикатори на компрометиране).
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
