Хакери атакуват с TeamFiltration над 80 000 профила в Microsoft Entra ID

Picture of Здравко Боджов
Здравко Боджов
Факти и данни

Хакерска група, известна като UNK_SneakyStrike, използва платформа с отворен код за тестове на проникване, наречена TeamFiltration, за да атакува профилите на над 80 000 потребители на Microsoft Entra ID (познати също като Azure AD) по целия свят.

Според специалистите по киберсигурност на Proofpoint, атаките са стартирали още през декември 2024 г. и досега са засегнали множество организации — главно средни и големи компании. В най-активната точка на атаките, на 8 януари, са били засегнати около 16 500 профила наведнъж.

Какво представлява TeamFiltration?

TeamFiltration представлява платформа с всички необходими функции за масово профилиране, проникване и компрометиране на акаунти в Microsoft Entra ID. Рамката позволява на нападателите да събират информация за потребителите, да изпробват пароли (spraying) и да създават задни врати с високо ниво на точност.

Proofpoint потвърди, че при наблюдаваните атаки групата UNK_SneakyStrike използва уникалната платформа, за да проникне в профилите на всички потребители при по-малките организации, а при по-големите – да концентрира усилията си върху ограничен набор сметки.

Как беше разкрита атаката?

Необичайно поведение като:
✅ Редки User-Agent стойности, уникални за TeamFiltration
✅ Вграден стар image на FOCI проекта на TrustedSec
✅ Твърдо зададени (hardcoded) OAuth Client IDs
✅ Аномалии при достъпа до приложения, с които профилите изобщо не работят

… всичко това подсказа на специалистите, че зад атаките стои именно TeamFiltration.

Какво правят нападателите?

Групата UNK_SneakyStrike използва служебен профил с лицензиран Microsoft 365 Business Basic, за да премине легитимно всички контроли на Microsoft Teams API и да събере информация за потребителите. Чрез AWS сървъри, разположени в различни региони — главно САЩ (42%), Ирландия (11%) и Великобритания (8%) — нападателите стартират концентрирани серии на атаки с интервали на покой, с цел да избегнат засичането.

Рекомендации на специалистите

Proofpoint съветва всички организации да:

✅ Въведат многофакторно удостоверяване (MFA) за всички профили.
✅ Зададат правила с Conditional Access, с които да контролират кой и при какви условия може да влиза.
✅ Реализират OAuth 2.0 механизми за по-надеждна защита на приложната среда.
✅ Включат правила за засичане на уникалната TeamFiltration User-Agent стойност.
✅ Блокират всички IP адреси, включени в публикувания списък с IOC (индикатори на компрометиране).

#атаки
По материали от Интернет

Подобни

Данни на клиенти на Eurail B.V. се продават в дарк уеб
17.02.2026
futuremoon-railway-7508384_640
Глобален срив на X
17.02.2026
ai-generated-8223753_640
NASA тества ИИ за автономна навигация на Марс
17.02.2026
wikiimages-mars-67522_640
Claude на Anthropic и военните операции на САЩ
17.02.2026
pentagon-US-defense
ЕК одобри придобиването на Wiz от Google
16.02.2026
Wiz-Google
Кибератаките – водещият риск за Г-7
16.02.2026
webinar_AI_in_Cybersecurity_Q1_BLOG_735x416_px

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.