Sofistike bir siber saldırı kampanyası, dünya çapında yüzlerce kuruluşta binlerce Microsoft Cloud hesabını tehlikeye atmak için meşru bir penetrasyon testi çerçevesini silahlandırdı.
UNK_SNeakyStrike olarak adlandırılan kötü niyetli işlem, Microsoft ekiplerini, OneDrive, Outlook ve diğer kurumsal uygulamaları hedefleyen büyük ölçekli hesap devralma saldırıları yapmak için Office 365 güvenlik değerlendirmeleri için tasarlanmış popüler bir siber güvenlik aracı olan TeamFiltration’dan yararlanır.
TeamFiltration, Ocak 2021’de tehdit araştırmacıları tarafından oluşturulan ve DEFCON30’da halka açık olarak piyasaya sürülen sağlam bir çerçeve olarak ortaya çıktı.
.png
)
Araç başlangıçta güvenlik profesyonellerinin bulut ortamlarına karşı müdahaleleri simüle etmesine yardımcı olmak için amaçlanmıştır, bu da Office 365 Entra ID hesabı devralma, veri ekleme ve kalıcı erişim kuruluşu için yetenekler sunmaktadır.
Bununla birlikte, birçok çift kullanımlı güvenlik aracı gibi, takım filtrasyonu artık siber suçlular tarafından meşru kuruluşlara karşı yetkisiz saldırılar yapmak için yeniden tasarlanmıştır.
UNK_SNeakyStrike kampanyası, Ocak 2024’te faaliyet göstererek Ocak 2025’te faaliyetlerine başladı.
Proofpoint araştırmacıları, aracın ayırt edici özellikleri ve saldırı kalıplarının dikkatli bir şekilde analizi yoluyla takım filtrasyonunun kötü niyetli kullanımını belirlediler.
Kampanyanın başlangıcından bu yana, tehdit aktörleri kabaca 100 bulut kiracısında 80.000’den fazla kullanıcı hesabı hedefledi ve bu da birden fazla başarılı hesap uzlaşmasına neden oldu.
Saldırganlar, sistematik kullanıcı numaralandırması ve şifre püskürtme saldırıları yapmak için TeamFiltration’ın gelişmiş yeteneklerini kullanır.
Çerçeve, Microsoft Teams API ve Amazon Web Services altyapısını birden fazla coğrafi bölgeye dağıtılan, kötü amaçlı trafiğin çoğunluğu ABD (%42), İrlanda (%11) ve Büyük Britanya’dan (%8) kaynaklanmaktadır.
Bu dağıtılmış yaklaşım, operasyonel esnekliği korurken saldırganların tespitten kaçmasına yardımcı olur.
Enfeksiyon mekanizması ve teknik uygulama
UNK_SNeakyStrike’ın teknik karmaşıklığı, Microsoft’un OAuth istemci uygulama ekosisteminden yararlanmasında yatmaktadır.
.webp)
TeamFiltration, Microsoft’un “Family Yenileme Jetonu” grubuna ait belirli istemci uygulamalarını hedefliyor ve saldırganların birden fazla Microsoft hizmetinde değiştirilebilecek özel kimlik doğrulama jetonları almasını sağlıyor.
Çerçevenin yapılandırması, önceden tanımlanmış bir hedef uygulamalar listesini ortaya çıkarır:-
var clientIdList = new List{
("1fec8e78-bce4-4aaf-ab1b-5451cc387264", "Microsoft Teams"),
("04b07795-8ddb-461a-bbee-02f9e1bf7b46", "Microsoft Azure CLI"),
("ab9b8c07-8f02-4f72-87fa-80105867a763", "OneDrive SyncEngine"),
("d3590ed6-52b3-4102-aeff-aad2292ab01c", "Microsoft Office")
};Proofpoint analistleri, saldırganların OneDrive aracılığıyla bir “geri kapı” tekniği yoluyla kalıcılığı sürdürdüğünü, hedef ortamlara kötü amaçlı dosyalar yüklediklerini ve meşru masaüstü dosyalarını kötü amaçlı yazılım yüklü lookes ile değiştirdiğini belirtti.
Kampanyanın saldırı paterni, tek bulut ortamlarında birden fazla kullanıcıyı hedefleyen yüksek yoğunlaşmış patlamaları ve bunu dört ila beş gün süren hareketsiz dönemleri içeriyor.
Bu taktiksel yaklaşım, sistematik AWS bölgesi rotasyonu ile birleştiğinde, tehdit aktörlerinin tespit kaçış teknikleri ve altyapı yönetimi hakkındaki sofistike anlayışını göstermektedir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi