Siber güvenlik araştırmacıları, Microsoft Entra ID (eski adıyla Azure Active Directory) kullanıcı hesaplarını ihlal etmek için TeamFiltration adlı açık kaynaklı bir penetrasyon test çerçevesinden yararlanan yeni bir hesap devralma (ATO) kampanyası ortaya çıkardılar.
Etkinlik, kodlanmış Unk_sneakystrike Proofpoint tarafından, Aralık 2024’te giriş denemelerinde bir artış gözlemlendiğinden, başarılı hesap devralmalarına yol açtığı için yüzlerce kuruluşun bulut kiracılarında 80.000’den fazla hedeflenen kullanıcı hesabını etkiledi.
Enterprise Security Company, “Saldırganlar Microsoft Teams API ve Amazon Web Services (AWS) sunucularını, kullanıcı büyütme ve şifre püskürtme girişimlerini başlatmak için çeşitli coğrafi bölgelerde bulunan kullanıcılardan yararlanıyor.” Dedi. “Saldırganlar, Microsoft Teams, OneDrive, Outlook ve diğerleri gibi belirli kaynaklara ve yerel uygulamalara erişimden yararlandı.”
Ağustos 2022’de DEF CON Güvenlik Konferansı’nda araştırmacı Melvin “Flangvik” Langvik tarafından kamuya açıklanan TeamFiltration, “Enstring, püskürtme, püskürtme ve geri kapı kaplama” Entra ID hesapları için platformlar arası bir çerçeve olarak tanımlanmaktadır.
Araç, hedefin Microsoft OneDrive hesabına kötü amaçlı dosyaları yükleyerek şifre püskürtme saldırıları, veri eksfiltrasyonu ve kalıcı erişim kullanarak hesap devralmayı kolaylaştırmak için kapsamlı özellikler sunar.
Araç, şifre püskürtme ve hesap numaralandırma işlevlerini kolaylaştırmak için bir Amazon Web Services (AWS) hesabı ve tek kullanımlık bir Microsoft 365 hesabı gerektirse de, Proofpoint, her bir şifre püskürtme dalgası yeni bir coğrafi konumda farklı bir sunucudan kaynaklanacak şekilde bu faaliyetleri yürütmek için takım filtrasyonundan yararlanan kötü amaçlı etkinliklerden oluşan kanıtları gözlemlediğini söyledi.
IP adreslerinin sayısına dayalı kötü amaçlı faaliyetlerle bağlantılı üç temel kaynak coğrafya arasında ABD (%42), İrlanda (%11) ve Büyük Britanya (%8) bulunmaktadır.
UNK_SneakyStrike etkinliği, tek bir bulut ortamında birkaç kullanıcıyı hedefleyen “yüksek konsantre patlamalarda” meydana gelen yetkisiz erişim çabaları ile “büyük ölçekli kullanıcı numaralandırma ve şifre püskürtme girişimleri” olarak tanımlanmıştır. Bunu dört ila beş gün süren bir durgunluk izler.
Bulgular, siber güvenlik profesyonellerine yardımcı olmak için tasarlanan araçların, kullanıcı hesaplarını ihlal etmelerine, hassas verileri hasat etmelerine ve kalıcı panolar oluşturmalarına izin veren çok çeşitli hain eylemler gerçekleştirmeleri için tehdit aktörleri tarafından nasıl kötüye kullanılabileceğini bir kez daha vurgulamaktadır.
“Unk_sneakystrike’ın hedefleme stratejisi, daha küçük bulut kiracılarındaki tüm kullanıcı hesaplarına yalnızca daha büyük kiracılardaki bir kullanıcı alt kümesine odaklanırlar.” Dedi. “Bu davranış, daha az arzu edilen hesapları filtrelemek için tasarlanmış, aracın gelişmiş hedef edinme özellikleriyle eşleşiyor.”