Los investigadores de seguridad cibernética han descubierto una nueva campaña de adquisición de cuentas (ATO) que aprovecha un entorno de prueba de penetración de código rajado llamado TeamFiltration para violar las cuentas de heredero de Microsoft Entra ID (anteriormente Azure Active Directory).
La actividad, con código codificado Unk_sneakystrike Por Proofpoint, se ha dirigido a más de 80,000 cuentas de usuarios en cientos de inquilinos en la cúmulo de las organizaciones desde que se observó un aumento en los intentos de inicio de sesión en diciembre de 2024, lo que llevó a adquisiciones exitosas de cuentas.
“Los atacantes aprovechan a los servidores de API y Amazon Web Services (AWS) de Microsoft Teams ubicados en varias regiones geográficas para propalar intentos de apariencia de usuarios y apiñadas en contraseña”, dijo la compañía de seguridad empresarial. “Los atacantes explotaron el paso a posibles específicos y aplicaciones nativas, como equipos de Microsoft, OneDrive, Outlook y otros”.
TeamFiltration, publicada públicamente por el investigador Melvin “Flangvik” Langvik en agosto de 2022 en la Conferencia de Seguridad Def Con, se describe como un entorno multiplataforma para “enumerar, rociar, exfiltrarse y traseros” cuentas de entrada “.
La aparejo ofrece amplias capacidades para simplificar la adquisición de la cuenta utilizando ataques de pulverización de contraseña, exfiltración de datos y paso persistente al cargar archivos maliciosos a la cuenta de Microsoft OneDrive del objetivo.
Si adecuadamente la aparejo requiere una cuenta de Amazon Web Services (AWS) y una cuenta desechable de Microsoft 365 para simplificar la pulverización de contraseñas y las funciones de enumeración de la cuenta, Proofpoint dijo que observó evidencia de actividad maliciosa que aprovechó la filtración de equipo para realizar estas actividades de forma que cada onda de pulverización de contraseña se origina de un servidor diferente en una nueva ubicación geográfica.
En su punto mayor, la campaña dirigió a 16.500 cuentas en un solo día a principios de enero de 2025. Las tres geografías de fuentes principales vinculadas a la actividad maliciosa en función del número de direcciones IP incluyen Estados Unidos (42%), Irlanda (11%) y Gran Bretaña (8%).
Cuando se le contactó para hacer comentarios, un portavoz de AWS le dijo a The Hacker News que los clientes deben cumplir con sus términos y que se necesitan medidas para cortar el contenido prohibido.
“AWS tiene términos claros que requieren que nuestros clientes usen nuestros servicios de conformidad con la ley aplicable”, dijo el portavoz. “Cuando recibimos informes de posibles violaciones de nuestros términos, actuamos rápidamente para revisar y tomar medidas para deshabilitar el contenido prohibido. Valoramos la colaboración con la comunidad de investigación de seguridad y alentamos a los investigadores a informar sospecha de demasía a AWS Trust & Safety a través de nuestro proceso dedicado de informes de demasía”.
La actividad Unk_Sneakystrike se ha descrito como “intentos de enumeración de usuarios a gran escalera y pulverización de contraseñas”, con los esfuerzos de paso no autorizados que ocurren en “ráfagas enormemente concentradas” dirigidas a varios usuarios interiormente de un entorno de una sola cúmulo. Esto es seguido por una pausa que dura de cuatro a cinco días.
Los hallazgos resaltan una vez más cómo las herramientas diseñadas para ayudar a los profesionales de seguridad cibernética pueden ser mal utilizados por los actores de amenazas para aceptar a extremo una amplia abanico de acciones nefastas que les permiten violar las cuentas de los usuarios, cosechar datos confidenciales y establecer puntos de apoyo persistentes.
“La táctica de orientación de Unk_Sneakystrike sugiere que intentan entrar a todas las cuentas de usuarios interiormente de los inquilinos de la cúmulo más pequeños mientras se centran solo en un subconjunto de usuarios en inquilinos más grandes”, dijo Proofpoint. “Este comportamiento coincide con las características de adquisición de objetivos avanzados de la aparejo, diseñadas para filtrar cuentas menos deseables”.
