Hackers têm vindo a utilizar a framework de testes de penetração TeamFiltration para levar a cabo uma campanha de ciberataques em larga escala, visando mais de 80.000 contas Microsoft Entra ID em centenas de organizações por todo o mundo. A campanha, que teve início em dezembro do ano passado, já resultou no comprometimento bem-sucedido de múltiplas contas.
A revelação foi feita por investigadores da empresa de cibersegurança Proofpoint, que atribuem a atividade a um ator de ameaça apelidado de UNK_SneakyStrike.
Uma campanha de ataques rápidos e intensos
De acordo com os especialistas, a campanha atingiu o seu pico no dia 8 de janeiro, quando foram visadas 16.500 contas num único dia. Estes picos de atividade intensa eram frequentemente seguidos por vários dias de inatividade, numa tática para possivelmente evitar a deteção.
Desde dezembro de 2024, a Proofpoint registou que a atividade do UNK_SneakyStrike afetou mais de 80.000 contas de utilizador, culminando em diversos casos de apropriação de contas com sucesso. Nos ataques a organizações mais pequenas (pequenos tenants), o ator de ameaça visou todos os utilizadores. Já no caso de alvos maiores, foram selecionados apenas subconjuntos de utilizadores.
O que é a TeamFiltration e como é utilizada?
A TeamFiltration é uma framework multiplataforma concebida para enumerar, pulverizar, exfiltrar e criar backdoors em contas do Microsoft 365 e Entra ID. Foi tornada pública em 2022 pelo investigador Melvin Langvik, da TrustedSec.
Na campanha observada, a TeamFiltration desempenha um papel central ao facilitar as tentativas de intrusão em grande escala. Os investigadores conseguiram ligar a atividade maliciosa a esta ferramenta após identificarem um raro user-agent (agente de utilizador) que a mesma utiliza, bem como IDs de cliente OAuth que estão codificados na sua lógica. Outros sinais incluíram padrões de acesso a aplicações incompatíveis e a presença de uma versão desatualizada do projeto FOCI da Secureworks, que está embutida no código da TeamFiltration.
Para lançar os ataques, os hackers utilizaram servidores da Amazon Web Services (AWS) em múltiplas regiões e uma conta "sacrificial" do Office 365 com uma licença Business Basic para abusar da API do Microsoft Teams na enumeração de contas. A maioria dos ataques teve origem em endereços de IP localizados nos Estados Unidos (42%), seguidos pela Irlanda (11%) e Reino Unido (8%).
Como proteger a sua organização
Perante esta ameaça, a Proofpoint emitiu um conjunto de recomendações para que as organizações possam proteger-se e mitigar o risco de um ataque bem-sucedido.
As principais medidas incluem:
- Bloquear todos os endereços de IP listados nos indicadores de compromisso partilhados pela Proofpoint.
- Criar regras de deteção para o user-agent específico da framework TeamFiltration.
- Ativar a autenticação multifator (MFA) para todos os utilizadores, sem exceção.
- Implementar o protocolo OAuth 2.0 de forma rigorosa.
- Utilizar políticas de acesso condicional no Microsoft Entra ID para reforçar a segurança.
Nenhum comentário
Seja o primeiro!