2024 vége óta több tízezer vállalati felhasználói fiók esett áldozatául egy újonnan felfedezett, szervezetten végrehajtott fiókátvételi kampánynak. A Proofpoint biztonsági kutatói azonosították a UNK_SneakyStrike névre keresztelt műveletet, amely során a támadók egy nyílt forráskódú eszközt, a TeamFiltration keretrendszert használták ki a Microsoft Entra ID (korábban Azure Active Directory) környezetek kompromittálásához. A kampány eddig több mint 80 000 felhasználói fiókot célzott meg és több száz szervezetet érintett világszerte.
TeamFiltration: a nyílt forráskód árnyoldala
A támadás középpontjában a 2022-ben DEF CON konferencián bemutatott TeamFiltration eszköz áll, amelyet eredetileg etikus hackelési célokra fejlesztettek. A keretrendszer a Microsoft-felhőszolgáltatások (Entra ID, OneDrive, Teams stb.) vizsgálatára és gyengeségeik kiaknázására szolgál.
A TeamFiltration főbb képességei közé tartozik:
- Felhasználók enumerációja (pl. Teams API-n keresztül)
- Jelszószórásos támadások földrajzilag elosztott szerverekről
- Adatkinyerés és hozzáférés tartósítása kompromittált OneDrive-fiókokkal
- Célpontszűrés, mellyel értékesebb fiókok kerülnek előtérbe
Bár eredetileg penetrációs tesztekhez készült, a támadók mostanra automatizált eszközként használják éles, rosszindulatú kampányokhoz.
A támadás működése
A Proofpoint elemzése szerint a támadók jelszószórásos (password spraying) technikával próbálnak hozzáférést szerezni a vállalati felhasználók fiókjaihoz. A támadásokat Amazon Web Services (AWS) szerverekről indítják, gyakran rotálva az IP-címeket és a földrajzi helyszíneket, hogy elkerüljék a riasztásokat és a blokkolást.
A támadási hullámok nagy intenzitású, rövid ideig tartó fázisokból állnak (pl. néhány órán belül több ezer belépési próbálkozás), amelyeket 4–5 napos szünetek követnek, majd új hullám indul más célpontokkal. A földrajzi eloszlás szerint a támadások 42%-a az Egyesült Államokból, 11%-a Írországból, 8%-a pedig az Egyesült Királyságból indult.
A támadók célpontválasztása igen kifinomult. Kisvállalati környezetekben minden felhasználót támadnak, míg nagyobb szervezetek esetében csak bizonyos célpontokra összpontosítanak – jellemzően rendszergazdákra, magasabb beosztásban lévő munkatársakra vagy kevésbé védett fiókokra. Ez a viselkedés jól illeszkedik a TeamFiltration beépített „célpontpriorizálási” képességeihez, amelyekkel az eszköz képes azonosítani és előnyben részesíteni bizonyos célpontokat.
A kompromittált fiókokkal a támadók gyakran nem elégszenek meg csak a hozzáférés megszerzésével. A bejelentkezés után a belső levelezést, fájlmegosztásokat és Teams-beszélgetéseket is monitoroznak, illetve rosszindulatú fájlokat töltenek fel OneDrive-fiókokba tartós hozzáférés céljából, majd további fiókokat is célba vesznek a szervezeten belül.
A támadás tehát nem csak egyszeri behatolás, hanem egy komplex, többfázisú ATO-lánc (Acount Takeover), amely adatkinyerésre és hosszú távú jelenlét fenntartására épül.
Védekezési lehetőségek
A UNK_SneakyStrike kampány egyértelmű üzenetet közvetít: a nyílt forráskódú eszközök könnyen fegyverré válhatnak, ha rossz kezekbe kerülnek. Ennek fényében a szervezeteknek ajánlott a következő védelmi intézkedések bevezetése:
- Kötelező többfaktoros hitelesítés (MFA) minden felhasználóra, különösen rendszergazdák esetében
- Jelszószórás elleni védelem és bejelentkezési anomáliák észlelése
- IP-cím és geolokáció alapú korlátozások, valamint elosztott bejelentkezési minták figyelése
- OneDrive és Teams auditnaplók rendszeres vizsgálata
- Felhasználók rendszeres edukálása
A TeamFiltration eszköz esete emlékeztet minket arra, hogy a kiberbiztonsági eszközök – akármilyen jó szándékkal készülnek is – könnyen kétélű fegyverré válhatnak. A UNK_SneakyStrike kampány kiváló példája annak, hogyan képesek a támadók automatizált, gyorsan alkalmazkodó eszközökkel nagyléptékű, célzott támadásokat végrehajtani akár védett környezetek ellen is. A felhőalapú infrastruktúrák növekvő kitettsége miatt a vállalatoknak proaktívan kell hozzáállniuk a fenyegetésekhez – különösen az olyan nyíltan elérhető eszközök esetében, mint a TeamFiltration.