كشف باحثون أمنيون عن حملة جديدة لاختراق الحسابات (ATO) تستخدم إطار اختبار الاختراق مفتوح المصدر TeamFiltration لاختراق حسابات مايكروسوفت إنترا آي دي (المعروفة سابقًا باسم Azure Active Directory).
تفاصيل الحملة:
-
اسم الشفرة: UNK_SneakyStrike (حسب Proofpoint).
-
الهدف: أكثر من 80,000 حساب مستخدم عبر مئات المؤسسات.
-
بداية النشاط: ديسمبر 2024، مع ذروة استهداف 16,500 حساب في يوم واحد يناير 2025.
-
التكتيكات:
-
تعداد المستخدمين وهجمات رش كلمات المرور (Password Spraying) عبر واجهة Microsoft Teams API.
-
استخدام خوادم أمازون ويب سيرفيسز (AWS) في مناطق جغرافية مختلفة (الولايات المتحدة 42%، أيرلندا 11%، بريطانيا 8%).
-
استغلال الوصول إلى موارد وتطبيقات مايكروسوفت مثل:
-
Teams
-
OneDrive
-
Outlook
-
-
كيف تعمل أداة TeamFiltration؟
-
صممها الباحث Melvin “Flangvik” Langvik وعُرضت في مؤتمر DEF CON 2022.
-
تُستخدم لـ:
-
تعداد الحسابات ورش كلمات المرور.
-
تصدير البيانات المسروقة.
-
ضمان وصول مستمر عبر تحميل ملفات ضارة على OneDrive.
-
-
تتطلب حساب AWS وحساب Microsoft 365 مؤقت لتنفيذ الهجمات.
رد فعل AWS:
أكد متحدث باسم أمازون ويب سيرفيسز لـ The Hacker News:
“لدينا شروط واضحة تمنع استخدام خدماتنا بشكل غير قانوني، ونتحرك سريعًا عند الإبلاغ عن انتهاكات. نتعاون مع الباحثين الأمنيين عبر قنوات الإبلاغ الرسمية.”
نمط الهجوم:
-
يتم تنفيذ الهجمات في موجات مركزة تستهدف عدة مستخدمين في بيئة سحابية واحدة، تليها فترة هدوء 4-5 أيام.
-
في المؤسسات الصغيرة، يحاول المهاجمون اختراق جميع الحسابات، بينما في الكبيرة، يركزون على حسابات محددة.
لماذا يُعد هذا خطيرًا؟
-
تُظهر الحملة كيف يمكن إساءة استخدام الأدوات الأمنية لتنفيذ هجمات متطورة.
-
تتيح للمهاجمين اختراق الحسابات، سرقة البيانات الحساسة، والحفاظ على وجودهم داخل الشبكات.
نصائح للحماية:
-
تفعيل المصادقة متعددة العوامل (MFA) لجميع الحسابات.
-
مراقبة أنشطة تسجيل الدخول غير المعتادة، خاصة من مناطق جغرافية مشبوهة.
-
استخدام كلمات مرور قوية وفريدة لكل خدمة.
-
تقييد الوصول إلى التطبيقات السحابية حسب الحاجة.
