资安业者Proofpoint近日警告,有一起恶意活动UNK_SneakyStrike自去年12月以来,便开始针对微软云端身分验证服务Entra ID发动密码泼洒(Password spraying)攻击,影响了数百个组织的逾8万个使用者帐户,并有多起成功接管帐户的案例。
根据Proofpoint的分析,骇客所使用的工具是一名威胁研究人员于2021年所打造的TeamFiltration,该工具具备帐户枚举、密码泼洒、资料汲取,以及透过OneDrive植入后门等能力,原本是要用来进行渗透测试及风险评估,模拟对Microsoft Azure用户的攻击,却直接被骇客应用于恶意活动。
例如骇客先透过公开资料与Microsoft Teams API测试帐户的存在与否;再尝试以少量却常见的密码来登入大量帐户(密码泼洒攻击);成功登入后便可汇出Outlook邮件、下载OneDrive,或是存取Teams的聊天纪录、通讯录或行事历等;再上传嵌有恶意巨集的Word/Excel文件到OneDrive上来维持常驻能力。
骇客透过AWS云端伺服器从不同的地理区域轮番发动攻击,主要为美国(42%)、爱尔兰(11%)及英国(8%),以增加追踪难度。
UNK_SneakyStrike攻击行动始于2024年12月,在2025年1月达到高峰,当时1天内有16,500个帐户遭到攻击。
有许多红队演练工具经常被骇客用来执行恶意活动,除了TeamFiltration之外,还有威胁模拟工具Cobalt Strike被用来部署后门,或是渗透测试框架Metasploit Framework被用来攻击未修补的安全漏洞。
而对Proofpoint研究人员而言,最大的难题之一是区分TeamFiltration的合法及攻击流量,他们发现,与受控的安全评估不同,恶意活动往往遵循更广泛、更无差别的攻击模式。