محققان امنیت سایبری کمپین جدیدی برای تصاحب حساب‌های کاربری کشف کرده‌اند که از چارچوب متن‌باز تست نفوذ به نام TeamFiltration برای نفوذ به حساب‌های کاربری Microsoft Entra ID (که قبلاً Azure Active Directory نام داشت) استفاده می‌کند.

این فعالیت که توسط شرکت Proofpoint با نام رمز UNK_SneakyStrike شناسایی شده، از دسامبر ۲۰۲۴ با افزایش تلاش‌های ورود به سیستم، بیش از ۸۰ هزار حساب کاربری در صدها سازمان را هدف قرار داده و منجر به تصاحب موفقیت‌آمیز حساب‌ها شده است.

شرکت امنیتی Proofpoint اعلام کرد: “مهاجمان از API مایکروسافت تیمز و سرورهای آمازون وب سرویس (AWS) واقع در مناطق جغرافیایی مختلف برای شمارش کاربران و حملات پاشش رمز عبور استفاده می‌کنند. آنها دسترسی به منابع خاص و برنامه‌های بومی مانند Microsoft Teams، OneDrive، Outlook و سایر موارد را مورد سوءاستفاده قرار دادند.”

TeamFiltration که در آگوست ۲۰۲۲ توسط محقق ملوین لانگویک در کنفرانس امنیتی DEF CON منتشر شد، چارچوبی چندسکویی برای “شمارش، پاشش، استخراج داده و ایجاد درب پشتی” در حساب‌های Entra ID توصیف می‌شود.

این ابزار قابلیت‌های گسترده‌ای برای تسهیل تصاحب حساب از طریق حملات پاشش رمز عبور، استخراج داده‌ها و دسترسی دائمی با آپلود فایل‌های مخرب به حساب OneDrive قربانی ارائه می‌دهد.

در حالی که این ابزار نیاز به حساب AWS و یک حساب یکبار مصرف Microsoft 365 برای انجام عملیات پاشش رمز عبور و شمارش حساب دارد، Proofpoint شواهدی از فعالیت‌های مخرب با استفاده از TeamFiltration مشاهده کرد که هر موج پاشش رمز عبور از سرور متفاوتی در موقعیت جغرافیایی جدید سرچشمه می‌گیرد.

در اوج خود، این کمپین در اوایل ژانویه ۲۰۲۵ در یک روز ۱۶,۵۰۰ حساب را هدف قرار داد. سه منطقه جغرافیایی اصلی مرتبط با فعالیت‌های مخرب بر اساس تعداد آدرس‌های IP شامل ایالات متحده (۴۲٪)، ایرلند (۱۱٪) و بریتانیا (۸٪) هستند.

سخنگوی AWS در پاسخ به درخواست نظر گفت که مشتریان ملزم به رعایت شرایط استفاده هستند و این شرکت اقداماتی برای مسدود کردن محتوای ممنوع انجام می‌دهد. سخنگو افزود: “AWS شرایط روشنی دارد که مشتریان ما را ملزم به استفاده از خدمات مطابق با قوانین می‌کند. هنگامی که گزارش‌هایی از نقض احتمالی شرایط دریافت می‌کنیم، سریعاً برای بررسی و غیرفعال کردن محتوای ممنوع اقدام می‌کنیم.”

فعالیت UNK_SneakyStrike به عنوان “تلاش‌های گسترده برای شمارش کاربران و پاشش رمز عبور” توصیف شده است که تلاش‌های دسترسی غیرمجاز در “انفجارهای بسیار متمرکز” رخ می‌دهد و چندین کاربر در یک محیط ابری را هدف قرار می‌دهد. سپس یک دوره سکوت چهار تا پنج روزه رخ می‌دهد.

این یافته‌ها بار دیگر نشان می‌دهد چگونه ابزارهایی که برای کمک به متخصصان امنیت سایبری طراحی شده‌اند، می‌توانند توسط بازیگران تهدید برای انجام اقدامات مخرب مختلف از جمله نفوذ به حساب‌های کاربری، جمع‌آوری داده‌های حساس و ایجاد موقعیت‌های دائمی مورد سوءاستفاده قرار گیرند.

Proofpoint گفت: “استراتژی هدف‌گیری UNK_SneakyStrike نشان می‌دهد که آنها تلاش می‌کنند به تمام حساب‌های کاربری در محیط‌های ابری کوچک‌تر دسترسی پیدا کنند، در حالی که در محیط‌های بزرگ‌تر فقط بر زیرمجموعه‌ای از کاربران تمرکز می‌کنند. این رفتار با ویژگی‌های پیشرفته کسب هدف ابزار که برای فیلتر کردن حساب‌های کمتر مطلوب طراحی شده، مطابقت دارد.”