Исследователи Proofpoint обнаружили активную кампанию по захвату учетных записей (ATO), получившую название UNK_SneakyStrike. Злоумышленники используют фреймворк TeamFiltration, изначально разработанный для тестирования на проникновение, чтобы атаковать пользователей Microsoft Entra ID. С декабря 2024 года под удар попали более 80 000 учетных записей в сотнях организаций, причем в ряде случаев атаки завершились успешным захватом.
Описание
TeamFiltration предоставляет злоумышленникам широкий набор функций, включая перебор учетных записей, атаки методом подбора паролей (password spraying) и эксфильтрацию данных. Особую опасность представляет возможность загрузки вредоносных файлов в OneDrive жертвы, что позволяет злоумышленникам сохранять доступ даже после смены пароля.
Proofpoint удалось отследить активность UNK_SneakyStrike благодаря уникальным характеристикам, таким как использование устаревшего пользовательского агента Microsoft Teams и попытки доступа к определенным приложениям с несовместимых устройств. Кроме того, атаки координируются через серверы Amazon Web Services (AWS) в разных регионах, что усложняет их блокировку.
Кампания отличается высокой активностью: атаки происходят волнами с интервалами в 4–5 дней. Злоумышленники целенаправленно атакуют все учетные записи в небольших организациях, тогда как в крупных компаниях выбирают конкретных пользователей. Основные регионы, откуда исходят атаки: США (42%), Ирландия (11%) и Великобритания (8%).
Proofpoint предупреждает организации о необходимости усиления защиты учетных записей, включая внедрение многофакторной аутентификации (MFA) и мониторинг подозрительной активности в Microsoft Teams, OneDrive и Outlook.
Индикаторы компрометации
IPv4
- 3.216.140.96
- 3.238.215.143
- 3.255.18.223
- 44.206.7.122
- 44.206.7.134
- 44.210.64.196
- 44.210.66.100
- 44.212.180.197
- 44.218.97.232
- 44.220.31.157
