TeamFiltration a UNK_SneakyStrike: cílená kampaň proti Microsoft Entra ID účtům

Kyberbezpečnostní analytici z Proofpointu zveřejnili podrobnosti o rozsáhlé kampani označené jako UNK_SneakyStrike, která od prosince 2024 do května 2025 zasáhla více než 80 000 uživatelských účtů v prostředí Microsoft Entra ID, dříve známém jako Azure Active Directory. Útoky využívají open-source framework TeamFiltration, který byl původně navržen jako nástroj pro penetrační testery, ale v rukou útočníků se stal prostředkem k hromadnému přístupu k cloudovým identitám a následné exfiltraci dat.

Základem této kampaně je kombinace technik password spraying, enumerace a zneužívání cloudových API Microsoftu, jako jsou Microsoft Teams, OneDrive a Outlook. Útočníci distribuují své útoky prostřednictvím infrastruktury Amazon Web Services, přičemž každá vlna pochází z jiné geografické lokace. Tato rozptýlená struktura nejen zvyšuje efektivitu, ale zároveň výrazně ztěžuje detekci tradičními bezpečnostními nástroji. Největší podíl útoků byl zaznamenán z USA, Irska a Velké Británii.

TeamFiltration, původně prezentovaný na DEF CON konferenci v roce 2022, nabízí útočníkům komplexní sadu funkcí, které umožňují nejen ověření slabých přihlašovacích údajů, ale také nahrávání škodlivých souborů do cloudových úložišť oběti a vytvoření trvalého přístupu k systému. Základní podmínkou pro nasazení tohoto nástroje je vlastnictví účtů v AWS a Microsoft 365, které slouží jako výchozí body útoku.

Zásadním poznatkem je strategie, kterou útočníci aplikují na různé typy cloudových tenantů. U menších organizací se snaží kompromitovat veškeré dostupné účty, zatímco u větších struktur selektivně cílí jen na uživatele s větší pravděpodobností přístupu k citlivým datům nebo správě prostředí. Útoky probíhají ve vlnách, kdy po intenzivní aktivitě následuje několikadenní pauza, což vytváří falešný dojem ukončení nebezpečí.

Zneužití nástroje typu TeamFiltration připomíná, jak snadno se i legitimní bezpečnostní software může stát prostředkem k útoku, pokud se dostane do nesprávných rukou. Cloudová prostředí zůstávají oblíbeným cílem, a právě komplexní identity a široká API expozice v Entra ID zvyšují riziko sofistikovaných kompromitací.

Z pohledu obrany je nezbytné důsledně monitorovat pokusy o přihlášení, zejména ty neúspěšné, a aktivně sledovat anomálie v přístupu z neobvyklých geografických oblastí. Povinné nasazení vícefaktorové autentizace a omezení přístupových práv k citlivým službám, jako jsou Teams nebo OneDrive, by mělo být standardem. Zároveň je potřeba pravidelně auditovat všechny účty – zvláště ty neaktivní nebo s nadměrnými oprávněními – a implementovat nástroje pro včasnou detekci aktivity odpovídající typickým vzorcům útoku jako je password spraying.

Zdroj: thehackernews.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI