Kimlik ve Erişim Yönetimi, Güvenlik Operasyonları
Bilgisayar korsanları Team Filtrasyon Penetrasyon Test Aracı Kullanıyor
Prajeet Nair (@prajeaetspeaks) •
12 Haziran 2025
Bir tehdit oyuncusu, Microsoft Entra hesaplarına yönelik saldırıları başlatmak ve başarı bulmak için Team Filtration Pentesting aracının şifre püskürtme özelliğini kullanıyor.
Ayrıca bakınız: Kavram kanıtı: AI ajanlarının yaşı için kimliği yeniden düşünmek
Proofpoint’teki araştırmacılar, Hacker’ların Aralık ayından bu yana aktif olduğu için şimdi izlediğini söylüyor. Tehdit oyuncusu kabaca 100 bulut kiracısında 80.000’den fazla kullanıcı hesabı hedefledi. Başarılı saldırılar, saldırganların Microsoft Teams, OneDrive ve Outlook gibi kaynaklara erişimden yararlanmasıyla sonuçlandı.
Unk_sneakystrike etkinliği, “tek bir bulut ortamında çok çeşitli kullanıcıları ve ardından tipik olarak dört ila beş gün süren sessiz dönemleri” hedefleyen konsantre patlamalarda olma eğilimindedir.
Birkaç gösterge, 2022’de Def Con Konferansı’nda kamuya açık olan bir araç olan TeamFiltration’ı kullanarak saldırılara işaret etti. Meşru güvenlik değerlendirmeleri için geliştirilen ekip filtrasyonu, kullanıcı numaralandırmasını, şifre püskürtmesini ve veri açığa çıkması için saldırganlar tarafından da benimsenir. Microsoft Cloud ortamlarındaki hesap devralma saldırılarını simüle etmek için tasarlanmış, özellikle eski Azure Active Directory olan Microsoft Entra ID’yi hedefleyen açık kaynaklı bir penetrasyon test çerçevesidir.
Aracın Microsoft Teams API’lerini kullanma ve kaynak IP adreslerini döndürmek için Amazon Web Services Cloud Altyapısını kullanma yeteneği, algılamayı ve engellemeyi özellikle zorlaştırıyor. OneDrive backrodooring gibi özellikleri, saldırganların geleneksel uyarıları tetiklemeden sürekli erişim kazanmasına ve sürdürmesine izin verir.
“TeamFiltration gibi araçlar siber güvenlik uygulayıcılarına savunma çözümlerini test etmede ve iyileştirmede yardımcı olmak için tasarlanmış olsa da, tehdit aktörleri tarafından kolayca silahlandırılabilir.”
Proofpoint, nadiren görülen Microsoft Teams kullanıcı aracısı ve Microsoft’un desteklenmeyen cihazlardan oturum açma uygulamalarına olağandışı erişim modelleri de dahil olmak üzere birkaç benzersiz uzlaşma göstergesini tanımladı. Bu göstergeler, TeamFiltration’ın kamuya açık belgelerini eşleştirerek ilişkilendirmeyi güçlendirdi.
TeamFiltration, saldırılarını başlatmak için AWS altyapısına dayanır. Her şifre püskürtme dalgası farklı bir AWS bölgesinden yönlendirilir, ABD, İrlanda ve Birleşik Krallık en büyük kaynaklardır.
Araştırmacılar, saldırganların stratejisinin uyarlanabilir olduğunu söyledi. Saldırganlar, daha küçük bulut kiracılarındaki tüm kullanıcı hesaplarını ihlal etmeye çalışırken, yalnızca daha büyük kullanıcılara odaklanır. Saldırı patlamalarını genellikle dört ila beş günlük sessiz dönemler izler, kırmızı takım operasyonlarını taklit eder ve tespiti daha zor hale getirir.
Proofpoint, meşru penetrasyon testleri ile gerçek kötü amaçlı aktivite arasında ayrım yapmanın giderek zor olduğunu, ancak unk_sneakystrike, etik kırmızı takımla tutarlı daha geniş, ayrım gözetmeyen hedefleme kalıpları sergilediğini söyledi.
Firma ayrıca tehdit oyuncusu takım filtrasyon yapılandırmasında, özellikle Outlook ve OneNote için yanlış tanımlanmış müşteri uygulama kimliklerinde hata buldu. Bu, saldırganların modası geçmiş araç sürümlerini kullandığını gösterebilir.