Investigadores de ciberseguridad han identificado una nueva campaña de toma de control de cuentas (ATO) que utiliza un framework de pruebas de penetración de código abierto llamado TeamFiltration para comprometer cuentas de usuarios en Microsoft Entra ID (anteriormente conocido como Azure Active Directory).
La actividad maliciosa, nombrada UNK_SneakyStrike por la empresa de ciberseguridad Proofpoint, ha afectado a más de 80.000 cuentas pertenecientes a cientos de organizaciones desde que se detectó un aumento significativo en los intentos de inicio de sesión en diciembre de 2024.
Enumeración de usuarios y password spraying mediante APIs y servidores en la nube
Los atacantes han utilizado la API de Microsoft Teams junto con servidores de Amazon Web Services (AWS) situados en diferentes regiones geográficas para llevar a cabo técnicas de enumeración de usuarios y password spraying. Una vez obtenidas las credenciales, se explotó el acceso a recursos y aplicaciones nativas, incluyendo Microsoft Teams, OneDrive y Outlook.
TeamFiltration, publicado en agosto de 2022 por el investigador Melvin "Flangvik" Langvik en la conferencia DEF CON, está diseñado específicamente para realizar tareas como la enumeración de cuentas, ataques de fuerza bruta, exfiltración de datos y establecimiento de accesos persistentes.
Un patrón de ataque en ráfagas y por regiones
Según Proofpoint, los atacantes utilizaron TeamFiltration desde diferentes servidores y ubicaciones, generando oleadas de ataques breves pero intensos, seguidas de pausas de 4 a 5 días antes de reanudar la actividad. Esta táctica se empleó para evadir detecciones automáticas y mantener una actividad controlada dentro de los entornos en la nube.
Los datos revelan que los principales países de origen de las direcciones IP utilizadas en la campaña fueron:
- Estados Unidos (42 %)
- Irlanda (11 %)
- Reino Unido (8 %)
Foco diferencial según el tamaño del inquilino
Proofpoint también señaló que la campaña muestra una estrategia diferenciada: los atacantes intentan acceder a todas las cuentas de usuario en inquilinos más pequeños, mientras que en entornos más grandes se enfocan en subconjuntos específicos de usuarios. Este comportamiento está en línea con las capacidades del framework, que permite filtrar cuentas menos relevantes y concentrar esfuerzos en objetivos de mayor valor.
Herramientas legítimas mal utilizadas
El caso UNK_SneakyStrike pone de relieve cómo herramientas desarrolladas con fines defensivos o de auditoría pueden ser reaprovechadas con fines maliciosos. En este caso, TeamFiltration se utilizó para comprometer cuentas de usuario, acceder a datos sensibles y mantener la persistencia en entornos corporativos.
Fuente: https://thehackernews.com/
