Επιθέσεις TeamFiltration στοχεύουν 80.000 λογαριασμούς Microsoft Entra ID
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Επιθέσεις TeamFiltration στοχεύουν 80.000 λογαριασμούς Microsoft Entra ID
https://www.secnews.gr/650907/epitheseis-teamfiltration-stoxevoun-80000-logariasmo-microsoft-entra-id/
Jun 13th 2025, 12:42
by Absenta Mia
Χάκερς έχουν χρησιμοποιήσει το εργαλείο δοκιμών διείσδυσης TeamFiltration, σε επιθέσεις εναντίον περισσότερων από 80.000 λογαριασμών Microsoft Entra ID σε εκατοντάδες οργανισμούς παγκοσμίως.
Δείτε επίσης: Η επίθεση Fog ransomware χρησιμοποιεί ανοιχτού κώδικα εργαλεία
Η εκστρατεία ξεκίνησε τον Δεκέμβριο και έχει ήδη καταφέρει να παραβιάσει πολλούς λογαριασμούς, σύμφωνα με ερευνητές της εταιρείας κυβερνοασφάλειας Proofpoint, οι οποίοι αποδίδουν τη δραστηριότητα σε μια απειλή με την ονομασία UNK_SneakyStrike.
Σύμφωνα με τους ερευνητές, η κορύφωση της εκστρατείας σημειώθηκε στις 8 Ιανουαρίου, όταν στοχεύτηκαν 16.500 λογαριασμοί σε μία μόνο ημέρα. Τέτοιες απότομες εξάρσεις ακολουθούνταν από αρκετές ημέρες αδράνειας.
Το TeamFiltration είναι ένα δια-πλατφορμικό εργαλείο που χρησιμοποιείται για καταμέτρηση, password spraying, εξαγωγή δεδομένων και εγκατάσταση backdoors σε λογαριασμούς O365 Entra ID. Δημιουργήθηκε από τον ερευνητή red-team της TrustedSec, Melvin Langvik, και δημοσιεύθηκε το 2022.
Στην κακόβουλη εκστρατεία UNK_SneakyStrike που παρακολούθησε η Proofpoint, το TeamFiltration παίζει βασικό ρόλο διευκολύνοντας απόπειρες παραβίασης σε ευρεία κλίμακα.
Οι ερευνητές αναφέρουν ότι ο κακόβουλος παράγοντας στοχεύει όλους τους χρήστες σε μικρούς tenants, ενώ σε μεγαλύτερους επιλέγει μόνο ένα υποσύνολο χρηστών. Η σύνδεση της δραστηριότητας με το TeamFiltration έγινε μέσω της ταυτοποίησης ενός σπάνιου user agent που χρησιμοποιεί το εργαλείο, καθώς και μέσω ταύτισης των OAuth client IDs που είναι ενσωματωμένα στον κώδικά του.
Δείτε ακόμα: Συντονισμένες επιθέσεις Brute-Force στο Apache Tomcat Manager
Άλλα ενδεικτικά σημάδια περιλαμβάνουν μοτίβα πρόσβασης σε μη συμβατές εφαρμογές, καθώς και την παρουσία ενός ξεπερασμένου στιγμιότυπου του έργου FOCI της Secureworks, το οποίο είναι ενσωματωμένο στον κώδικα του TeamFiltration.
Επιθέσεις TeamFiltration στοχεύουν 80.000 λογαριασμούς Microsoft Entra ID
Οι επιτιθέμενοι χρησιμοποίησαν διακομιστές AWS σε πολλές γεωγραφικές περιοχές για την εκτέλεση των επιθέσεων και βασίστηκαν σε έναν "sacrificial" λογαριασμό Office 365 με άδεια Business Basic, προκειμένου να κάνουν κατάχρηση του Microsoft Teams API για καταμέτρηση λογαριασμών.
Οι περισσότερες επιθέσεις προέρχονται από διευθύνσεις IP που βρίσκονται στις Ηνωμένες Πολιτείες (42%), με την Ιρλανδία (11%) και το Ηνωμένο Βασίλειο (8%) να ακολουθούν.
Οι οργανισμοί θα πρέπει να αποκλείσουν όλες τις IP που αναφέρονται στην ενότητα "δείκτες παραβίασης" (indicators of compromise) της Proofpoint και να δημιουργήσουν κανόνες ανίχνευσης για το user agent string του TeamFiltration.
Επιπλέον, συνιστάται να ενεργοποιηθεί η πολυπαραγοντική ταυτοποίηση (MFA) για όλους τους χρήστες, να επιβληθεί η χρήση του OAuth 2.0 και να εφαρμοστούν πολιτικές υπό όρους πρόσβασης (conditional access) στο Microsoft Entra ID.
Δείτε επίσης: Sensata Technologies: Ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Βάσει των παραπάνω, φαίνεται πως η εκστρατεία UNK_SneakyStrike αναδεικνύει πόσο σημαντική είναι η προληπτική προστασία ταυτοτήτων σε περιβάλλοντα cloud, όπως το Microsoft Entra ID. Το γεγονός ότι οι επιτιθέμενοι εκμεταλλεύονται νόμιμες υπηρεσίες όπως το Microsoft Teams API και χρησιμοποιούν ένα εργαλείο όπως το TeamFiltration, που σχεδιάστηκε αρχικά για δοκιμές ασφάλειας, δείχνει πόσο εύκολα μπορεί να μετατραπεί ένα red-team εργαλείο σε όπλο κακόβουλης χρήσης.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Επιθέσεις TeamFiltration στοχεύουν 80.000 λογαριασμούς Microsoft Entra ID
https://www.secnews.gr/650907/epitheseis-teamfiltration-stoxevoun-80000-logariasmo-microsoft-entra-id/
Jun 13th 2025, 12:42
by Absenta Mia
Χάκερς έχουν χρησιμοποιήσει το εργαλείο δοκιμών διείσδυσης TeamFiltration, σε επιθέσεις εναντίον περισσότερων από 80.000 λογαριασμών Microsoft Entra ID σε εκατοντάδες οργανισμούς παγκοσμίως.
Δείτε επίσης: Η επίθεση Fog ransomware χρησιμοποιεί ανοιχτού κώδικα εργαλεία
Η εκστρατεία ξεκίνησε τον Δεκέμβριο και έχει ήδη καταφέρει να παραβιάσει πολλούς λογαριασμούς, σύμφωνα με ερευνητές της εταιρείας κυβερνοασφάλειας Proofpoint, οι οποίοι αποδίδουν τη δραστηριότητα σε μια απειλή με την ονομασία UNK_SneakyStrike.
Σύμφωνα με τους ερευνητές, η κορύφωση της εκστρατείας σημειώθηκε στις 8 Ιανουαρίου, όταν στοχεύτηκαν 16.500 λογαριασμοί σε μία μόνο ημέρα. Τέτοιες απότομες εξάρσεις ακολουθούνταν από αρκετές ημέρες αδράνειας.
Το TeamFiltration είναι ένα δια-πλατφορμικό εργαλείο που χρησιμοποιείται για καταμέτρηση, password spraying, εξαγωγή δεδομένων και εγκατάσταση backdoors σε λογαριασμούς O365 Entra ID. Δημιουργήθηκε από τον ερευνητή red-team της TrustedSec, Melvin Langvik, και δημοσιεύθηκε το 2022.
Στην κακόβουλη εκστρατεία UNK_SneakyStrike που παρακολούθησε η Proofpoint, το TeamFiltration παίζει βασικό ρόλο διευκολύνοντας απόπειρες παραβίασης σε ευρεία κλίμακα.
Οι ερευνητές αναφέρουν ότι ο κακόβουλος παράγοντας στοχεύει όλους τους χρήστες σε μικρούς tenants, ενώ σε μεγαλύτερους επιλέγει μόνο ένα υποσύνολο χρηστών. Η σύνδεση της δραστηριότητας με το TeamFiltration έγινε μέσω της ταυτοποίησης ενός σπάνιου user agent που χρησιμοποιεί το εργαλείο, καθώς και μέσω ταύτισης των OAuth client IDs που είναι ενσωματωμένα στον κώδικά του.
Δείτε ακόμα: Συντονισμένες επιθέσεις Brute-Force στο Apache Tomcat Manager
Άλλα ενδεικτικά σημάδια περιλαμβάνουν μοτίβα πρόσβασης σε μη συμβατές εφαρμογές, καθώς και την παρουσία ενός ξεπερασμένου στιγμιότυπου του έργου FOCI της Secureworks, το οποίο είναι ενσωματωμένο στον κώδικα του TeamFiltration.
Επιθέσεις TeamFiltration στοχεύουν 80.000 λογαριασμούς Microsoft Entra ID
Οι επιτιθέμενοι χρησιμοποίησαν διακομιστές AWS σε πολλές γεωγραφικές περιοχές για την εκτέλεση των επιθέσεων και βασίστηκαν σε έναν "sacrificial" λογαριασμό Office 365 με άδεια Business Basic, προκειμένου να κάνουν κατάχρηση του Microsoft Teams API για καταμέτρηση λογαριασμών.
Οι περισσότερες επιθέσεις προέρχονται από διευθύνσεις IP που βρίσκονται στις Ηνωμένες Πολιτείες (42%), με την Ιρλανδία (11%) και το Ηνωμένο Βασίλειο (8%) να ακολουθούν.
Οι οργανισμοί θα πρέπει να αποκλείσουν όλες τις IP που αναφέρονται στην ενότητα "δείκτες παραβίασης" (indicators of compromise) της Proofpoint και να δημιουργήσουν κανόνες ανίχνευσης για το user agent string του TeamFiltration.
Επιπλέον, συνιστάται να ενεργοποιηθεί η πολυπαραγοντική ταυτοποίηση (MFA) για όλους τους χρήστες, να επιβληθεί η χρήση του OAuth 2.0 και να εφαρμοστούν πολιτικές υπό όρους πρόσβασης (conditional access) στο Microsoft Entra ID.
Δείτε επίσης: Sensata Technologies: Ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Βάσει των παραπάνω, φαίνεται πως η εκστρατεία UNK_SneakyStrike αναδεικνύει πόσο σημαντική είναι η προληπτική προστασία ταυτοτήτων σε περιβάλλοντα cloud, όπως το Microsoft Entra ID. Το γεγονός ότι οι επιτιθέμενοι εκμεταλλεύονται νόμιμες υπηρεσίες όπως το Microsoft Teams API και χρησιμοποιούν ένα εργαλείο όπως το TeamFiltration, που σχεδιάστηκε αρχικά για δοκιμές ασφάλειας, δείχνει πόσο εύκολα μπορεί να μετατραπεί ένα red-team εργαλείο σε όπλο κακόβουλης χρήσης.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz