یک کمپین پیچیده با نام UNK_SneakyStrike از ابزار تست نفوذ مشروع TeamFiltration برای انجام حملات حسابربایی گسترده در محیطهای Microsoft Entra ID استفاده میکند. این ابزار در ابتدا ویژه آزمایش و شبیهسازی نفوذ منتشر شده بود، اما اکنون در اختیار بازیگران مخرب قرار گرفته است
🎯 دامنه حملات
-
از دسامبر ۲۰۲۴ آغاز و در ژانویه ۲۰۲۵ اوج گرفته است .
-
بیشتر از ۸۰,۰۰۰ حساب کاربری در حدود ۱۰۰ سازمان ابری بهعنوان هدف انتخاب شده و برخی با موفقیت تسخیر شدهاند
-
.webp)
روشهای فنی سوءاستفاده
-
شناسایی حسابها (enumeration) از طریق API مایکروسافت تیمز
-
حمله password‑spraying با استفاده از ابزار TeamFiltration و چرخش ترافیک از طریق زیرساخت AWS در مناطق مختلف (۴۲٪ آمریکا، ۱۱٪ ایرلند، ۸٪ بریتانیا)
-
استفاده از refresh tokenهای گروهی (family refresh token) برای دسترسی به چند سرویس Microsoft با یک توکن احراز نشده
-
پایداری (persistence) با آپلود فایلهای مخرب در OneDrive و جایگزینی فایلهای قانونی روی دسکتاپ
-
این کمپین از User‑Agent قدیمی Microsoft Teams برای شناسایی ابزار TeamFiltration استفاده کرده است
ویژگیهای تفکیکی Campain
-
حملات در دورههای متراکم انجام میشود (مثلاً حمله به ۱۶,۵۰۰ حساب در یک روز) سپس چند روز وقفه
-
در سازمانهای کوچک همه کاربران هدف قرار گرفتهاند، اما در سازمانهای بزرگ تنها گروهی از کاربران انتخاب شدهاند
🛡️ توصیههای امنیتی
-
فعالسازی احراز هویت چندمرحلهای (MFA) برای همه حسابها
-
بلاک کردن IPها و user-agentهای مرتبط با TeamFiltration
-
بررسی و محدودسازی دسترسی OAuth client IDs در Entra ID
-
غیرفعالسازی پروتکلهای قدیمی یا ضعیف احراز هویت (مانند IMAP/SMTP با رمز ساده)
-
پایش رفتارهای غیرعادی مانند دسترسیهای مکرر، تغییرات ناگهانی یک OneDrive خاص، یا ورود از مکانهای غیرمنطقی
✅ نتیجهگیری
کمپین UNK_SneakyStrike نمونهای روشن از سوءاستفاده از ابزارهای امنیتی مشروع در حملات واقعی است. سازمانها برای جلوگیری از تسخیر حسابهای Microsoft Entra ID باید اقدامات قوی امنیتی مانند MFA، سختسازی OAuth، و نظارت دقیق بر فعالیتهای مشکوک را اجرایی کنند.
یک نظر