Hackers Geven Aanval op Meer dan 80.000 Microsoft Entra ID Accounts

Uitgebreide Cyberaanval Met TeamFiltration Framework

Hackers hebben het TeamFiltration-framework gebruikt om wereldwijd meer dan 80.000 Microsoft Entra ID accounts aan te vallen, verspreid over honderden organisaties.

Aanvalsgolf van UNK_SneakyStrike

De aanval begon afgelopen december en meerdere accounts zijn succesvol gehackt, aldus onderzoekers van cybersecuritybedrijf Proofpoint. Zij wijzen naar de dreigingsactor UNK_SneakyStrike als verantwoordelijke. Het hoogtepunt van de campagne was op 8 januari, toen er 16.500 accounts op één dag werden aangevallen. Deze scherpe pieken werden gevolgd door dagen van inactiviteit.

Rol van TeamFiltration

TeamFiltration is een platformonafhankelijk framework dat in 2022 werd geïntroduceerd door TrustedSec-onderzoeker Melvin Langvik. Het ondersteunt bij het in kaart brengen, aanvallen en binnenkomen van O365 EntraID accounts. In de geobserveerde campagne speelt TeamFiltration een cruciale rol bij grootschalige inbraakpogingen.

Doelwitselectie en Technische Indicaties

Bij kleine groepen richt UNK_SneakyStrike zich op alle gebruikers, terwijl bij grotere groepen slechts een selectie wordt aangevallen. Sinds december 2024 heeft deze activiteit meer dan 80.000 accounts bij honderden organisaties beïnvloed, resulterend in diverse succesvolle overnames.

De onderzoekers ontdekten de link met TeamFiltration door een zeldzame gebruikersagent en specifieke OAuth-client ID’s die in de tool zijn gecodeerd.

Aanvalsstrategie

De aanvallers gebruikten servers van AWS in verschillende regio’s en maakten misbruik van een Office 365-account met een Business Basic-licentie voor accountonderzoek via de Microsoft Teams API.

Aanvalsbron en Aanbevelingen

De meeste aanvallen kwamen uit de Verenigde Staten (42%), gevolgd door Ierland (11%) en het VK (8%).

Organisaties wordt geadviseerd om alle IP-adressen te blokkeren die in de indicatoren van compromissectie van Proofpoint worden vermeld en detectieregels te creëren voor de TeamFiltration-gebruikersagent. Verder wordt aanbevolen om multi-factor authenticatie in te schakelen, OAuth 2.0 af te dwingen en voorwaardelijke toegang in Microsoft Entra ID te gebruiken.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.