Los investigadores de seguridad cibernética han descubierto una nueva campaña de adquisición de cuentas (ATO) que aprovecha un marco de prueba de penetración de código abierto llamado TeamFiltration para violar las cuentas de usuario de Microsoft Entra ID (anteriormente Azure Active Directory).
La actividad, con código codificado Unk_sneakystrike Por Proofpoint, se ha dirigido a más de 80,000 cuentas de usuarios en cientos de inquilinos en la nube de las organizaciones desde que se observó un aumento en los intentos de inicio de sesión en diciembre de 2024, lo que llevó a adquisiciones exitosas de cuentas.
«Los atacantes aprovechan a los servidores de API y Amazon Web Services (AWS) de Microsoft Teams ubicados en varias regiones geográficas para lanzar intentos de envoltura de usuarios y apiñadas en contraseña», dijo la compañía de seguridad empresarial. «Los atacantes explotaron el acceso a recursos específicos y aplicaciones nativas, como equipos de Microsoft, OneDrive, Outlook y otros».
TeamFiltration, publicado públicamente por el investigador Melvin «Flangvik» Langvik, en agosto de 2022 en la Conferencia de Seguridad Def Con, se describe como un marco multiplataforma para «enumerar, pulverizar, exfiltrarse y traseros» cuentas de Entres Id «.
La herramienta ofrece amplias capacidades para facilitar la adquisición de la cuenta utilizando ataques de pulverización de contraseña, exfiltración de datos y acceso persistente al cargar archivos maliciosos a la cuenta de Microsoft OneDrive del objetivo.
Si bien la herramienta requiere una cuenta de Amazon Web Services (AWS) y una cuenta desechable de Microsoft 365 para facilitar la pulverización de contraseñas y las funciones de enumeración de la cuenta, Proofpoint dijo que observó evidencia de actividad maliciosa que aprovechó la filtración de equipo para realizar estas actividades de manera que cada onda de pulverización de contraseña se origina de un servidor diferente en una nueva ubicación geográfica.
Las tres geografías de fuentes principales vinculadas a la actividad maliciosa en función del número de direcciones IP incluyen los Estados Unidos (42%), Irlanda (11%) y Gran Bretaña (8%).
La actividad Unk_Sneakystrike se ha descrito como «intentos de enumeración de usuarios a gran escala y pulverización de contraseñas», con los esfuerzos de acceso no autorizados que ocurren en «ráfagas altamente concentradas» dirigidas a varios usuarios dentro de un entorno de una sola nube. Esto es seguido por una pausa que dura de cuatro a cinco días.
Los hallazgos resaltan una vez más cómo las herramientas diseñadas para ayudar a los profesionales de seguridad cibernética pueden ser mal utilizados por los actores de amenazas para llevar a cabo una amplia gama de acciones nefastas que les permiten violar las cuentas de los usuarios, cosechar datos confidenciales y establecer puntos de apoyo persistentes.
«La estrategia de orientación de Unk_Sneakystrike sugiere que intentan acceder a todas las cuentas de usuarios dentro de los inquilinos de la nube más pequeños mientras se centran solo en un subconjunto de usuarios en inquilinos más grandes», dijo Proofpoint. «Este comportamiento coincide con las características de adquisición de objetivos avanzados de la herramienta, diseñadas para filtrar cuentas menos deseables».