Dünya çapında yüzlerce kuruluşta Microsoft Entra ID ortamlarından ödün vermek için meşru bir penetrasyon testi çerçevesinden yararlanan gelişmiş bir hesap devralma kampanyası ortaya çıktı.
Aralık 2024’te yoğunlaşmaya başlayan kötü niyetli etkinlik, siber suçluların nasıl savunma amaçları için tasarlanan güvenlik araçlarını giderek daha fazla silahlandırdığını göstermektedir.
Kampanya, Ocak 365 Entra ID kullanıcı hesaplarını sistematik olarak hedeflemek için Ocak 2021’de oluşturulan ve DEFCON30’da yayınlanan halka açık bir pentest çerçevesi olan TeamFiltration’dan yararlanıyor.
.png
)
.webp)
Başlangıçta güvenlik profesyonellerinin bulut ortam güvenlik açıklarını test etmelerine yardımcı olmak için geliştirilen bu araç, saldırganlara şifre püskürtme, veri açığa çıkma ve onedrive backdoors aracılığıyla kalıcı erişim oluşturma için otomatik özellikler sağlar.
Proofpoint araştırmacıları, şimdi unk_sneakystrike olarak izlenen kötü niyetli etkinliği belirlediler ve kampanyanın yükselişinden bu yana yaklaşık 100 bulut kiracısında 80.000’den fazla kullanıcı hesabının hedeflendiğini belirledi.
Tehdit aktörleri, ABD, İrlanda ve Büyük Britanya saldırı trafiği için birincil kaynak konumlarını temsil eden Amazon Web Services altyapısı aracılığıyla birçok coğrafi bölgeyi kapsıyor.
.webp)
Kampanyanın metodolojisi, Microsoft Teams API’sı aracılığıyla sistematik kullanıcı numaralandırmasını ve ardından algılamadan kaçınmak için farklı AWS bölgeleri arasında dönen koordineli şifre püskürtme girişimlerini içerir.
Başarılı hesaptan ödün vermeler, saldırganların ekipler, onedrive ve görünüm de dahil olmak üzere yerel Microsoft uygulamalarına erişmesini sağlayarak yanal hareket ve veri hırsızlığını potansiyel olarak kolaylaştırır.
Teknik parmak izi ile tespit
Unk_sneakystrike’ın tanımlanması, TeamFiltration’ın teknik imzalarının ve davranışsal kalıplarının sofistike analizini gerektiriyordu.
Proofpoint araştırmacıları, çerçevenin kötü niyetli etkinlikleri izlemede enstrümantal olduğunu kanıtlayan kendine özgü bir kullanıcı aracısı dizesi kullandığını keşfettiler:-
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Teams/1.3.00.30866 Chrome/80.0.3987.165 Electron/8.5.1 Safari/537.36Bu eski Microsoft Teams kullanıcı aracısı nadiren meşru ortamlarda görünür ve bu da onu takım filtrasyon kullanımının güvenilir bir göstergesi haline getirir.
Ayrıca, araştırmacılar, TeamFiltration’ın kod tabanında önceden yapılandırılmış belirli uygulama kimliklerini hedefleyen şüpheli oturum açma girişimlerini belirlediler;
Bu jetonlar daha sonra, birden fazla Microsoft hizmetinde geçerli taşıyıcı jetonları için değiştirilebilir ve başarılı uzlaşmaların potansiyel etkisini artırabilir.
Kampanyanın altyapı gereksinimleri, TeamFiltration’ın teknik özelliklerine mükemmel şekilde uyumludur, hem AWS’nin şifre püskürtme işlemlerini hem de Microsoft 365 İşletme İşlevleri için temel lisanslarla kurban ofis 365 hesaplarını gerektirir.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin