أكثر من 80 ألف حساب في “مايكروسوفت إنترا آي دي” تتعرض للاستهداف باستخدام أداة TeamFiltration مفتوحة المصدر

كشف باحثون أمنيون عن حملة جديدة لاختراق الحسابات (ATO) تستخدم إطار اختبار الاختراق مفتوح المصدر TeamFiltration لاختراق حسابات مايكروسوفت إنترا آي دي (المعروفة سابقًا باسم Azure Active Directory).

تفاصيل الحملة:

• اسم الشفرة: UNK_SneakyStrike (حسب Proofpoint).

• الهدف: أكثر من 80,000 حساب مستخدم عبر مئات المؤسسات.

• بداية النشاط: ديسمبر 2024، مع ذروة استهداف 16,500 حساب في يوم واحد يناير 2025.

• التكتيكات:

  • تعداد المستخدمين وهجمات رش كلمات المرور (Password Spraying) عبر واجهة Microsoft Teams API.

  • استخدام خوادم أمازون ويب سيرفيسز (AWS) في مناطق جغرافية مختلفة (الولايات المتحدة 42%، أيرلندا 11%، بريطانيا 8%).

  • استغلال الوصول إلى موارد وتطبيقات مايكروسوفت مثل:

    • Teams

    • OneDrive

    • Outlook

كيف تعمل أداة TeamFiltration؟

• صممها الباحث Melvin “Flangvik” Langvik وعُرضت في مؤتمر DEF CON 2022.

• تُستخدم لـ:

  • تعداد الحسابات ورش كلمات المرور.

  • تصدير البيانات المسروقة.

  • ضمان وصول مستمر عبر تحميل ملفات ضارة على OneDrive.

• تتطلب حساب AWS وحساب Microsoft 365 مؤقت لتنفيذ الهجمات.

رد فعل AWS:

أكد متحدث باسم أمازون ويب سيرفيسز لـ The Hacker News:

“لدينا شروط واضحة تمنع استخدام خدماتنا بشكل غير قانوني، ونتحرك سريعًا عند الإبلاغ عن انتهاكات. نتعاون مع الباحثين الأمنيين عبر قنوات الإبلاغ الرسمية.”

نمط الهجوم:

• يتم تنفيذ الهجمات في موجات مركزة تستهدف عدة مستخدمين في بيئة سحابية واحدة، تليها فترة هدوء 4-5 أيام.

• في المؤسسات الصغيرة، يحاول المهاجمون اختراق جميع الحسابات، بينما في الكبيرة، يركزون على حسابات محددة.

لماذا يُعد هذا خطيرًا؟

• تُظهر الحملة كيف يمكن إساءة استخدام الأدوات الأمنية لتنفيذ هجمات متطورة.

• تتيح للمهاجمين اختراق الحسابات، سرقة البيانات الحساسة، والحفاظ على وجودهم داخل الشبكات.

نصائح للحماية:

1. تفعيل المصادقة متعددة العوامل (MFA) لجميع الحسابات.

2. مراقبة أنشطة تسجيل الدخول غير المعتادة، خاصة من مناطق جغرافية مشبوهة.

3. استخدام كلمات مرور قوية وفريدة لكل خدمة.

4. تقييد الوصول إلى التطبيقات السحابية حسب الحاجة.