駭客正針對微軟Entra ID帳戶發動密碼潑灑攻擊

資安業者Proofpoint近日警告，有一起惡意活動UNK_SneakyStrike自去年12月以來，便開始針對微軟雲端身分驗證服務Entra ID發動密碼潑灑（Password spraying）攻擊，影響了數百個組織的逾8萬個使用者帳戶，並有多起成功接管帳戶的案例。

根據Proofpoint的分析，駭客所使用的工具是一名威脅研究人員於2021年所打造的TeamFiltration，該工具具備帳戶枚舉、密碼潑灑、資料汲取，以及透過OneDrive植入後門等能力，原本是要用來進行滲透測試及風險評估，模擬對Microsoft Azure用戶的攻擊，卻直接被駭客應用於惡意活動。

例如駭客先透過公開資料與Microsoft Teams API測試帳戶的存在與否；再嘗試以少量卻常見的密碼來登入大量帳戶（密碼潑灑攻擊）；成功登入後便可匯出Outlook郵件、下載OneDrive，或是存取Teams的聊天紀錄、通訊錄或行事曆等；再上傳嵌有惡意巨集的Word/Excel文件到OneDrive上來維持常駐能力。

駭客透過AWS雲端伺服器從不同的地理區域輪番發動攻擊，主要為美國（42%）、愛爾蘭（11%）及英國（8%），以增加追蹤難度。

UNK_SneakyStrike攻擊行動始於2024年12月，在2025年1月達到高峰，當時1天內有16,500個帳戶遭到攻擊。

有許多紅隊演練工具經常被駭客用來執行惡意活動，除了TeamFiltration之外，還有威脅模擬工具Cobalt Strike被用來部署後門，或是滲透測試框架Metasploit Framework被用來攻擊未修補的安全漏洞。

而對Proofpoint研究人員而言，最大的難題之一是區分TeamFiltration的合法及攻擊流量，他們發現，與受控的安全評估不同，惡意活動往往遵循更廣泛、更無差別的攻擊模式。