یک کمپین پیچیده با نام UNK_SneakyStrike از ابزار تست نفوذ مشروع TeamFiltration برای انجام حملات حسابربایی گسترده در محیطهای Microsoft Entra ID استفاده میکند. این ابزار در ابتدا ویژه آزمایش و شبیهسازی نفوذ منتشر شده بود، اما اکنون در اختیار بازیگران مخرب قرار گرفته است
🎯 دامنه حملات
از دسامبر ۲۰۲۴ آغاز و در ژانویه ۲۰۲۵ اوج گرفته است .
بیشتر از ۸۰,۰۰۰ حساب کاربری در حدود ۱۰۰ سازمان ابری بهعنوان هدف انتخاب شده و برخی با موفقیت تسخیر شدهاند
.webp)
روشهای فنی سوءاستفاده
شناسایی حسابها (enumeration) از طریق API مایکروسافت تیمز
حمله password‑spraying با استفاده از ابزار TeamFiltration و چرخش ترافیک از طریق زیرساخت AWS در مناطق مختلف (۴۲٪ آمریکا، ۱۱٪ ایرلند، ۸٪ بریتانیا)
استفاده از refresh tokenهای گروهی (family refresh token) برای دسترسی به چند سرویس Microsoft با یک توکن احراز نشده
پایداری (persistence) با آپلود فایلهای مخرب در OneDrive و جایگزینی فایلهای قانونی روی دسکتاپ
این کمپین از User‑Agent قدیمی Microsoft Teams برای شناسایی ابزار TeamFiltration استفاده کرده است
ویژگیهای تفکیکی Campain
حملات در دورههای متراکم انجام میشود (مثلاً حمله به ۱۶,۵۰۰ حساب در یک روز) سپس چند روز وقفه
در سازمانهای کوچک همه کاربران هدف قرار گرفتهاند، اما در سازمانهای بزرگ تنها گروهی از کاربران انتخاب شدهاند
🛡️ توصیههای امنیتی
فعالسازی احراز هویت چندمرحلهای (MFA) برای همه حسابها
بلاک کردن IPها و user-agentهای مرتبط با TeamFiltration
بررسی و محدودسازی دسترسی OAuth client IDs در Entra ID
غیرفعالسازی پروتکلهای قدیمی یا ضعیف احراز هویت (مانند IMAP/SMTP با رمز ساده)
پایش رفتارهای غیرعادی مانند دسترسیهای مکرر، تغییرات ناگهانی یک OneDrive خاص، یا ورود از مکانهای غیرمنطقی
✅ نتیجهگیری
کمپین UNK_SneakyStrike نمونهای روشن از سوءاستفاده از ابزارهای امنیتی مشروع در حملات واقعی است. سازمانها برای جلوگیری از تسخیر حسابهای Microsoft Entra ID باید اقدامات قوی امنیتی مانند MFA، سختسازی OAuth، و نظارت دقیق بر فعالیتهای مشکوک را اجرایی کنند.
یک نظر