Proofpoint Tehdit İstihbaratı, Global Kuruluşlar genelinde Microsoft Entra ID kullanıcı hesaplarını hedeflemek için açık kaynaklı penetrasyon test çerçevesi ekip filtrasyonunu kullanan büyük ölçekli bir hesap devralma (ATO) kampanyasını ortaya çıkardı.
2024’ün sonlarında başlayan kampanya, bugüne kadar yüzlerce bulut kiracısında 80.000’den fazla kullanıcı hesabı hedefledi ve teyit edilmiş birkaç başarılı kimlik bilgisi uzlaşma ve yetkisiz erişim vakası.
Bu, kötü niyetli amaçlar için meşru güvenlik araçlarının kullanımında önemli bir yükselişe işaret eder, saldırganlar yöntemlerini geliştirdikçe artması muhtemel bir eğilimdir.
.png
)
Teknik Genel Bakış: Team Filtrasyonu ve Silahlanması
Team Filtrasyonu Bulut ortamlarında penetrasyon testi için başlangıçta tasarlanmış bir araç, güvenlik araştırmacıları tarafından modern ATO saldırılarında yaygın olarak gözlenen taktikleri, teknikleri ve prosedürleri (TTP’ler) otomatikleştirmek için oluşturuldu.
Ağustos 2021’de DEFCON30’da halka açık bir şekilde piyasaya sürülen TeamFiltration, hem kırmızı takımları hem de tehdit aktörlerine savunmasız hesapları verimli bir şekilde tanımlamaları ve hassas verileri püskürtmek için güçlendirir.
- Hesap numaralandırma:
- Hedefli bir Entra Kimliği (Azure AD) ortamında bir kullanıcı hesabının olup olmadığını kontrol etmek için Microsoft Teams API’sını kullanır.
- Son zamanlarda daha fazla gizli ve esneklik sunan isteğe bağlı bir onedrive tabanlı numaralandırma yöntemi eklendi.
- Parola Püskürtme:
- Ortak veya sistematik olarak çeşitli şifrelerin bir listesini kullanarak oturum açma girişimleri.
- IP rotasyonu için birden fazla AWS bölgesinde çalışır ve algılamayı zorlaştırır.
- Veri Defiltrasyonu:
- Bulut depolamasından e -postaları, dosyaları ve diğer değerli verileri çıkarır.
- Kalıcılık ve geri kapı kaplama:
- Mevcut dosyaları (örneğin masaüstünde) benzer belgelerle değiştirerek kötü amaçlı dosyaları kurbanın onedrive’a yükler.
- Bu dosyalar, kalıcılık veya daha fazla uzlaşma sistemleri oluşturmak için makro veya kötü amaçlı yazılım içerebilir.
pythonimport os
import shutil
import requests# Simulated code: replace a user's file with lookalike after upload to OneDrive
desktop_file = "C:/Users/User/Desktop/important_document.docx"
backdoor_file = "C:/temp/backdoor_doc.docx"
onedrive_url = "https://graph.microsoft.com/v1.0/me/drive/root/children"
# Copy backdoor file locally (if needed)
shutil.copy(desktop_file, desktop_file + ".bak")
os.rename(desktop_file, desktop_file + ".old")
os.rename(backdoor_file, desktop_file)
Proofpoint nasıl izlendi unk_sneakystrike
Rapora göre, Proofpoint’in tehdit araştırmacıları kampanya ile ilişkili benzersiz imzaları ve davranışsal kalıpları tanımlamak için halka açık ekip filtrasyon kodunu ve varsayılan yapılandırma dosyasını analiz etti.
- Kullanıcı aracısı:
- Varsayılan TeamFiltration Kullanıcı aracısı:
metin
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Teams/1.3.00.30866 Chrome/80.0.3987.165 Electron/8.5.1 Safari/537.36- Bu modası geçmiş ekipler müşteri temsilcisi, güçlü bir başlangıç tespit sinyali olarak hizmet ederek meşru ortamlarda nadiren görülür.
- Uygulama Kimliği Hedefleme:
- TeamFiltration, Entra ID’den “aile yenileme jetonları” elde etmek için belirli bir Microsoft OAuth istemci uygulamaları listesini hedefler.
- AWS ve Azure Altyapısı:
- Saldırganlar, IP’leri farklı bölgelerde döndürmek için AWS sunucularını kullanır ve engelleme çabalarını karmaşıklaştırır.
- TeamFiltration, numaralandırma için geçerli bir lisansa sahip bir “kurban” Microsoft 365 hesabı gerektirir.
Unk_sneakystrike etkinliği, daha küçük kiracılardaki tüm kullanıcıları ve daha büyük olanlardaki bir kullanıcı alt kümesini hedefleyen konsantre yetkisiz erişim denemeleri patlamaları ile işaretlenir. Bunları dört ila beş günlük sessiz dönemler izler.
Temel Öneriler ve hafifletme
Proofpoint’in bulguları, açık kaynaklı güvenlik araçlarının çift kullanımlı doğasının ve tehdit aktörlerinin meşru trafiği taklit etmede ve anonimlik için bulut altyapısından yararlanmada artan karmaşıklığını vurgulamaktadır.
- Olağandışı İşaretler için Monitör Listelenen IP’lerden ve kullanıcı aracılarından, özellikle AWS bölgelerinden.
- OAUTH uygulamalarını gözden geçirin ve denetleyin ve entra kimliğindeki müşteri kimlikleri, özellikle de pentesting araçlarında referans verilenler.
- Çok faktörlü kimlik doğrulama (MFA) uygulayın ve eski kimlik doğrulama protokollerinin kullanımını sınırlayın.
- Yeni TTPS’de güncel kalın ve kuruluşunuz ve endüstri topluluğunuzdaki tehdit istihbaratını paylaşın.
Seçilen IOCS (Proofpoint’ten):
| Gösterge | Tip | Tanım |
|---|---|---|
| Mozilla/5.0 (Windows NT 10.0; Win64; x64)… | Kullanıcı aracısı | Varsayılan TeamFiltration Kullanıcı Aracısı |
| 44.220.31[.]157 | IP adresi | Kaynak IP, 04/01/2025’ten beri etkin |
| 44.206.7[.]122 | IP adresi | Kaynak IP, 07/01/2025’ten beri etkin |
| 3.255.18[.]223 | IP adresi | Kaynak IP, 28/02/2025’ten beri aktif |
| 44.206.7[.]134 | IP adresi | Kaynak IP, 07/01/2025’ten beri etkin |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin