محققان شرکت امنیت سایبری Proofpoint این فعالیتها را به گروه هکری موسوم به UNK_SneakyStrike نسبت میدهند. بر اساس گزارش محققان، اوج این کمپین در ۸ ژانویه رخ داد که در یک روز ۱۶,۵۰۰ حساب کاربری هدف قرار گرفت. پس از این حملات شدید، چندین روز عدم فعالیت مشاهده شد.
TeamFiltration یک چارچوب چندسکویی برای شمارش، پاشیدن، استخراج و ایجاد درب پشتی در حسابهای O365 EntraID است. این ابزار در سال ۲۰۲۲ توسط ملوین لانگویک، محقق تیم قرمز TrustedSec منتشر شد.
در کمپین UNK_SneakyStrike، این ابزار نقش محوری در تسهیل تلاشهای نفوذ گسترده ایفا میکند. محققان گزارش میدهند که مهاجمان در سازمانهای کوچک همه کاربران را هدف قرار میدهند، در حالی که در سازمانهای بزرگتر تنها زیرمجموعهای از کاربران انتخاب میشوند.
Proofpoint توضیح میدهد: “از دسامبر ۲۰۲۴، فعالیت UNK_SneakyStrike بیش از ۸۰ هزار حساب کاربری را در صدها سازمان تحت تأثیر قرار داده و منجر به چندین مورد تصاحب موفق حساب شده است.”
محققان این فعالیت مخرب را از طریق شناسایی یک user agent نادر که ابزار استفاده میکند و همچنین تطابق شناسههای OAuth client که در منطق ابزار کدگذاری شدهاند، به TeamFiltration مرتبط کردند. نشانههای دیگر شامل الگوهای دسترسی به برنامههای ناسازگار و وجود یک نسخه قدیمی از پروژه FOCI شرکت Secureworks در کد TeamFiltration است.
مهاجمان از سرورهای AWS در مناطق مختلف برای انجام حملات استفاده کردند و از یک حساب Office 365 با مجوز Business Basic برای سوءاستفاده از API مایکروسافت Teams جهت شمارش حسابها بهره بردند.
بیشتر حملات از آدرسهای IP واقع در ایالات متحده (۴۲ درصد)، ایرلند (۱۱ درصد) و بریتانیا (۸ درصد) سرچشمه میگیرند.
سازمانها باید تمام IP های فهرست شده در بخش شاخصهای سازش Proofpoint را مسدود کنند و قوانین تشخیص برای رشته user agent مربوط به TeamFiltration ایجاد نمایند. علاوه بر این، توصیه میشود احراز هویت چندعاملی برای همه کاربران فعال شود، OAuth 2.0 اجباری گردد و از سیاستهای دسترسی مشروط در Microsoft Entra ID استفاده شود.
کلمات کلیدی : هکرها, TeamFiltration, Microsoft Entra ID, UNK_SneakyStrike, حساب کاربری, امنیت سایبری
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.