背景圖片取自Radoslav Bali on Unsplash

資安業者Proofpoint近日警告,有一起惡意活動UNK_SneakyStrike自去年12月以來,便開始針對微軟雲端身分驗證服務Entra ID發動密碼潑灑(Password spraying)攻擊,影響了數百個組織的逾8萬個使用者帳戶,並有多起成功接管帳戶的案例。

根據Proofpoint的分析,駭客所使用的工具是一名威脅研究人員於2021年所打造的TeamFiltration,該工具具備帳戶枚舉、密碼潑灑、資料汲取,以及透過OneDrive植入後門等能力,原本是要用來進行滲透測試及風險評估,模擬對Microsoft Azure用戶的攻擊,卻直接被駭客應用於惡意活動。

例如駭客先透過公開資料與Microsoft Teams API測試帳戶的存在與否;再嘗試以少量卻常見的密碼來登入大量帳戶(密碼潑灑攻擊);成功登入後便可匯出Outlook郵件、下載OneDrive,或是存取Teams的聊天紀錄、通訊錄或行事曆等;再上傳嵌有惡意巨集的Word/Excel文件到OneDrive上來維持常駐能力。

駭客透過AWS雲端伺服器從不同的地理區域輪番發動攻擊,主要為美國(42%)、愛爾蘭(11%)及英國(8%),以增加追蹤難度。

UNK_SneakyStrike攻擊行動始於2024年12月,在2025年1月達到高峰,當時1天內有16,500個帳戶遭到攻擊。

有許多紅隊演練工具經常被駭客用來執行惡意活動,除了TeamFiltration之外,還有威脅模擬工具Cobalt Strike被用來部署後門,或是滲透測試框架Metasploit Framework被用來攻擊未修補的安全漏洞。

而對Proofpoint研究人員而言,最大的難題之一是區分TeamFiltration的合法及攻擊流量,他們發現,與受控的安全評估不同,惡意活動往往遵循更廣泛、更無差別的攻擊模式。

熱門新聞

Advertisement