Proofpoint tehdidi araştırmacıları, Microsoft Entra ID kullanıcı hesaplarını hedeflemek için Team Filtration Pentesting çerçevesini kullanan UNK_SNeakyStrike olarak adlandırılan aktif bir hesap devralma (ATO) kampanyası ortaya koydu.
Aralık 2024’ten bu yana, bu kötü niyetli işlem yüzlerce kuruluşta 80.000’den fazla kullanıcı hesabını etkiledi ve birkaç başarılı ihlal elde etti.
Unk_sneakystrike kampanyası
Saldırganlar, büyük ölçekli kullanıcı numaralandırmasını ve şifre püskürtme saldırılarını düzenlemek için başlangıçta meşru penetrasyon testi ve risk değerlendirmesi için tasarlanmış bir aracı silahlandırdı.
.png
)
Siber suçlular, Microsoft Teams API ve Amazon Web Services (AWS) altyapısından yararlanarak, Microsoft Teams, OneDrive ve Outlook gibi kritik yerel uygulamalara yetkisiz erişim elde ettiler ve bulut güvenliği için önemli bir tehdit oluşturdu.
İlk olarak 2021’de DEFCON30’da halka açık olarak yayınlanan Team Filtration Framework, siber güvenlik manzarasında çift kenarlı bir kılıç haline getiren bir dizi gelişmiş yetenek sunuyor.
Geçerli kullanıcıları tanımlamak için hesap numaralandırması, kimlik bilgilerini tehlikeye atmak için parola püskürtme ve e -postalar ve dosyalar gibi hassas bilgileri çalmak için veri açığa çıkması gibi taktikleri otomatikleştirir.
Ayrıca, meşru dosyaları kötü amaçlı yazılım yüklü lookalikes ile değiştirmek için bir hedefin onedrive’sine kötü amaçlı dosyaları yükleyerek “geri kapı” teknikleri aracılığıyla kalıcı erişimi kolaylaştırır.
Sofistike hesap devralma taktikleri
ProofPoint araştırmacıları, farklı, eski bir Microsoft Teams kullanıcı aracısı ve uyumsuz cihazlardan belirli oturum açma uygulamalarına şüpheli erişim girişimleri de dahil olmak üzere, Team Filtrasyon Kötüye kullanımının benzersiz göstergelerini belirledi ve kullanıcı ajanının saldırıların kökenini maskelemek için sahtekarlığı önerdi.
Daha fazla analiz, aracın daha sonra Entra ID ortamlarında daha geniş erişim için kullanılmak üzere “aile yenileme jetonları” elde etmek için önceden yapılandırılmış bir Microsoft OAuth istemci uygulama kimlikleri listesini hedeflediğini ortaya koydu.
Ocak 2025’te zirve yapan UNK_SNeakyStrike kampanyası, daha büyük olanlardaki alt kümelere seçici olarak odaklanırken genellikle daha küçük bulut kiracılarındaki tüm kullanıcı tabanlarını hedefleyen, yetkisiz erişim denemelerinin konsantre patlamalarını sergiliyor.
Bu saldırılar, ağırlıklı olarak ABD (%42), İrlanda (%11) ve Büyük Britanya’daki AWS sunucularından kaynaklanan bu saldırılar, tespitten kaçınmak için bölgeler arasında dönüyor.
Proofpoint, bu kötü niyetli aktiviteyi, birden fazla kiracıdaki gelişigüzel, yüksek hacimli hedefleme kalıplarını analiz ederek meşru penetrasyon testinden ayırdı.
Kampanyanın, AWS altyapısı ile birleştiğinde, numaralandırma için bir Microsoft 365 Business Basic Lisansı ile “kurban” Office 365 hesabına güvenmesi, operasyonun karmaşıklığını vurgulamaktadır.
Tehdit aktörleri, takım filtrasyonu gibi gelişmiş araçları giderek daha fazla benimsedikçe, Proofpoint daha az etkili izinsiz giriş yöntemlerinden uzaklaşarak kuruluşları davranışsal analitik ve tehdit zekası ile savunmaları desteklemeye çağırıyor.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tip | Tanım | İlk görüldü |
|---|---|---|---|
| Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebkit/537.36 (KHTML, Gecko gibi) Takımlar/1.3.00.30866 Chrome/80.0.3987.165 Electron/8.5.1 safari/537.36 | Kullanıcı aracısı | TeamFiltration etkinliği ile ilişkili varsayılan kullanıcı aracısı | – |
| 44.220.31.157 | IP adresi | Unk_sneakystrik etkinliği ile ilişkili kaynak IP | 04/01/2025 |
| 44.206.7.122 | IP adresi | Unk_sneakystrik etkinliği ile ilişkili kaynak IP | 07/01/2025 |
| 3.255.18.223 | IP adresi | Unk_sneakystrik etkinliği ile ilişkili kaynak IP | 28/02/2025 |
| 44.206.7.134 | IP adresi | Unk_sneakystrik etkinliği ile ilişkili kaynak IP | 07/01/2025 |
| 44.212.180.197 | IP adresi | Unk_sneakystrik etkinliği ile ilişkili kaynak IP | 05/01/2025 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin