Password-spraying attacks target 80,000 Microsoft Entra ID accounts

ハッカーは、TeamFiltrationペンテストフレームワークを使用して、世界中の数百の組織で80,000以上のMicrosoft Entra IDアカウントを標的にしている。

このキャンペーンは昨年12月に開始され、複数のアカウントの乗っ取りに成功したと、サイバーセキュリティ企業Proofpointの研究者は述べており、この活動はUNK_SneakyStrikeと呼ばれる脅威行為者によるものだとしている。

研究者によると、このキャンペーンのピークは1月8日に起こり、1日で16,500のアカウントを標的とした。このような急激な攻撃は、その後数日間にわたって行われなかった。

Volume of attacks launched by UNK_SneakyStrike
UNK_SneakyStrike による攻撃の量
ソースはこちら:プルーフポイント

TeamFiltrationは、O365 EntraIDアカウントを列挙、散布、流出、バックドアするためのクロスプラットフォーム・フレームワークです。TrustedSecのレッドチーム研究者Melvin Langvikによって2022年に発表されました。

Proofpointが観測したUNK_SneakyStrikeキャンペーンでは、TeamFiltrationが大規模な侵入の試みを促進する上で中心的な役割を果たしています。

研究者の報告によると、この脅威は小規模なテナントではすべてのユーザーを標的としていますが、大規模なテナントの場合は、UNK_SneakyStrikeはサブセットからユーザーのみを選択します。

「2024年12月以降、UNK_SneakyStrikeの活動は、数百の組織にわたって80,000を超える標的のユーザーアカウントに影響を与え、アカウントの乗っ取りに成功したケースもいくつかありました」と Proofpoint社は 説明しています

研究者は、このツールが使用する稀なユーザーエージェントと、ツールのロジックにハードコードされたOAuthクライアントIDを特定した後、悪意のある活動をTeamFiltrationに結びつけました。

その他の兆候としては、互換性のないアプリケーションへのアクセスパターンや、TeamFiltrationのコードに埋め込まれたSecureworksのFOCIプロジェクトの古いスナップショットの存在などが挙げられます。

攻撃者は、複数のリージョンにまたがるAWSサーバーを使用して攻撃を開始し、Business Basicライセンスの「犠牲的な」Office 365アカウントを使用して、アカウント列挙のためにMicrosoft Teams APIを悪用していました。

Overview of TeamFiltration attacks
UNK_SneakyStrike による攻撃の量
Source:Proofpoint

攻撃のほとんどは米国(42%)、次いでアイルランド(11%)、英国(8%)のIPアドレスから発信されています。

組織は、Proofpoint の「indicators of compromise」セクションに記載されているすべての IP をブロックし、TeamFiltration のユーザーエージェント文字列の検出ルールを作成する必要があります。

それとは別に、すべてのユーザーに対して多要素認証を有効にし、OAuth 2.0を実施し、Microsoft Entra IDで条件付きアクセスポリシーを使用することが推奨される。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Tines Needle

ITチームが手作業によるパッチ管理をやめる理由

かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。

この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。