top of page

Campanha UNK_SneakyStrike utiliza TeamFiltration para ataques de password spraying contra Microsoft Entra ID

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 7 horas
  • 2 min de leitura

Pesquisadores da Proofpoint identificaram uma extensa campanha de ataques de pulverização de senhas direcionada a mais de 80.000 contas do Microsoft Entra ID, comprometendo centenas de organizações ao redor do mundo. A ofensiva, que teve início em dezembro de 2024, utiliza a estrutura de código aberto TeamFiltration, originalmente desenvolvida para testes de penetração por Melvin Langvik, da TrustedSec. A ferramenta, no entanto, está sendo explorada por hackers para realizar ataques automatizados de enumeração e sequestro de contas em larga escala.


O ataque é atribuído a um invasor apelidado de UNK_SneakyStrike, cuja atividade apresentou um pico significativo em 8 de janeiro de 2025, atingindo 16.500 contas em um único dia. Segundo a Proofpoint, a campanha opera de forma intermitente, alternando períodos de atividade intensa com dias de inatividade. Em grupos pequenos, todas as contas são visadas; já em grupos maiores, o hacker seleciona alvos específicos dentro de subconjuntos, aumentando a eficiência e dificultando a detecção.


A identificação do TeamFiltration como ferramenta principal na campanha foi confirmada por meio de artefatos específicos, como o uso de um agente de usuário incomum e o reaproveitamento de trechos de código de projetos como o FOCI, da Secureworks. Além disso, os invasores abusaram da API do Microsoft Teams para mapear contas utilizando uma licença Business Basic do Office 365 e servidores hospedados na AWS, principalmente nos EUA, Irlanda e Reino Unido.


Para mitigar os riscos, a Proofpoint recomenda o bloqueio dos endereços IP maliciosos listados em seus indicadores de comprometimento (IoCs), o uso de autenticação multifator (MFA) para todos os usuários, e a adoção de políticas de acesso condicional e autenticação baseada em OAuth 2.0 no Microsoft Entra ID. A sofisticação da campanha e o uso criativo de uma ferramenta legítima em ações ofensivas ressaltam a crescente dificuldade de distinguir entre testes éticos de segurança e ataques reais quando tais ferramentas caem em mãos mal-intencionadas.


Via - BC

 
 
 

Comentarios

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page