开源工具TeamFiltration被滥用，超8万微软Entra ID账户遭定向攻击

网络安全研究人员发现，攻击者正利用名为TeamFiltration的开源渗透测试框架，对微软Entra ID（原Azure Active Directory）用户账户发起新型账户接管（ATO）攻击。Proofpoint公司将此次攻击活动命名为UNK_SneakyStrike，自2024年12月出现登录尝试激增以来，已影响数百家组织云租户中的超8万个目标账户。

攻击手法分析

企业安全公司Proofpoint指出："攻击者利用微软Teams API和位于不同地理区域的亚马逊云服务（AWS）服务器，发起用户枚举和密码喷洒攻击。攻击者通过获取微软Teams、OneDrive、Outlook等特定资源和原生应用的访问权限实施入侵。"

TeamFiltration工具由研究员Melvin "Flangvik" Langvik于2022年8月在DEF CON安全大会上公开发布，被描述为可对Entra ID账户实施"枚举、喷洒、数据渗出和后门植入"的跨平台框架。该工具通过密码喷洒攻击、数据渗出以及向目标OneDrive账户上传恶意文件等手段，为攻击者提供持续访问能力。

攻击基础设施溯源

虽然该工具需要AWS账户和一次性微软365账户来执行密码喷洒和账户枚举功能，但Proofpoint发现，攻击者利用TeamFiltration实施的每波密码喷洒攻击都源自不同地理位置的新服务器。根据IP地址数量统计，恶意活动主要源自美国（42%）、爱尔兰（11%）和英国（8%）三个地区。

攻击特征研判

UNK_SneakyStrike活动被描述为"大规模用户枚举和密码喷洒尝试"，其未经授权的访问行为呈现"高度集中爆发"特征——针对单一云环境中的多个用户发起密集攻击后，会进入4-5天的静默期。Proofpoint特别指出："该组织的攻击策略显示，他们对小型云租户尝试获取所有用户账户访问权，而对大型租户仅锁定特定用户群。这种行为模式与该工具的高级目标获取功能高度吻合，该功能设计用于过滤低价值账户。"

此次事件再次证明，原本用于辅助网络安全专业人员的工具可能被威胁分子滥用，实施账户入侵、窃取敏感数据和建立持久访问权限等恶意行为。

原文来自: thehackernews.com