Investigadores de seguridad Proofpoint han descubierto una nueva campaña de adquisición de cuentas (Account TakeOver - ATO) que aprovecha un framework para realizar pentesting de código abierto, llamado TeamFiltration, para violar las cuentas de usuario de Microsoft Entra ID (anteriormente Azure Active Directory).
Bautizado como Unk_sneakystrike por Proofpoint, la campaña se ha dirigido a más de 80.000 cuentas de usuarios en cientos de clientes en la nube y, desde su inicio en diciembre de 2024, ha logrado acceder a cientos de organizaciones. "Los atacantes aprovechan a los servidores de API y Amazon Web Services (AWS) de Microsoft Teams ubicados en varias regiones geográficas para lanzar intentos de enumeración de cuentas y password-spraying. Los atacantes explotaron el acceso a recursos específicos y aplicaciones nativas, como equipos de Microsoft, OneDrive, Outlook y otros".
TeamFiltration, publicado públicamente por el investigador Melvin "Flangvik" Langvik, en agosto de 2022 en la Conferencia de Seguridad DefCon 30, se describe como un marco multiplataforma para "enumerating, spraying, exfiltrating, and backdooring cuentas de Entra ID".
La herramienta ofrece amplias capacidades para facilitar la adquisición de la cuenta utilizando ataques de password-spraying, exfiltración de datos y acceso persistente al cargar archivos maliciosos a la cuenta de Microsoft OneDrive del objetivo.
Si bien la herramienta requiere una cuenta de Amazon Web Services (AWS) y una cuenta desechable de Microsoft 365 para facilitar el spraying de contraseñas y las funciones de enumeración de la cuenta, Proofpoint dijo que observó evidencia de actividad maliciosa que aprovechó la filtración de equipo para realizar estas actividades de manera que cada onda de spray se origina de un servidor diferente en una nueva ubicación geográfica.
En su punto máximo, la campaña dirigió a 16.500 cuentas en un solo día a principios de enero de 2025. Las tres geografías de fuentes principales vinculadas a la actividad maliciosa en función del número de direcciones IP incluyen Estados Unidos (42%), Irlanda (11%) y Gran Bretaña (8%).
La actividad Unk_Sneakystrike se ha descrito como "intentos de enumeración de usuarios a gran escala en ráfagas altamente concentradas dirigidas a varios usuarios dentro de un entorno de una sola nube". Esto es seguido por una pausa que dura de cuatro a cinco días.
Los hallazgos resaltan una vez más cómo las herramientas diseñadas para ayudar a los profesionales de seguridad pueden ser mal utilizados por los actores de amenazas para llevar a cabo una amplia gama de acciones nefastas que les permiten violar las cuentas de los usuarios, cosechar datos confidenciales y establecer puntos de apoyo persistentes.
Fuente: THN