Eine aktuelle Untersuchung der Security-Experten von Proofpoint zeigt, dass das populäre Pentesting-Framework TeamFiltration im Rahmen einer seit Dezember 2024 aktiven Angriffskampagne massiv für die Übernahme von Microsoft-Entra-ID-Konten missbraucht wird. Die Angreifer setzen bei der intern als „UNK_SneakyStrike” bezeichneten Kampagne auf ausgefeilte Methoden wie systematisches Passwort-Spraying und die Identifikation gültiger Nutzerkonten. Zudem machen sie sich gezielt Schwachstellen in Cloud-Umgebungen zunutze.
Bemerkenswert ist Proofpoint zufolge, dass TeamFiltration ursprünglich dazu konzipiert wurde, IT-Abteilungen bei der Erkennung und Behebung von Sicherheitslücken in Office-365- und Azure-Umgebungen zu unterstützen. Im aktuellen Fall konnten die Proofpoint-Experten jedoch beobachten, dass Angreifer über AWS-Infrastrukturen aus verschiedenen Regionen operieren und durch den Einsatz sogenannter „Sacrificial Accounts” sowie gezielter Manipulationen an OneDrive-Dateien ihre Spuren geschickt verwischen. Es soll ihnen gelungen sein, nicht nur einzelne Nutzerkonten zu kompromittieren, sondern in kurzer Zeit ganze Organisationen ins Visier zu nehmen.
Seit Beginn der Aktivitäten sollen bereits mehr als 80.000 Nutzerkonten aus rund 100 Unternehmen attackiert worden sein. In zahlreichen Fällen kam es demnach tatsächlich zu erfolgreichen Account-Übernahmen. Besonders perfide agierten die Täter, indem sie bei kleineren Unternehmen versuchten, sämtliche Konten zu übernehmen. Bei größeren Organisationen konzentrierten sie sich hingegen auf ausgewählte Ziele. Diese Vorgehensweise erschwert den Forschern zufolge die Erkennung und Abwehr der Angriffe zusätzlich, da sie sich kaum von routinemäßigen Penetrationstests unterscheiden lassen.
Identifiziert wurden die Angriffe unter anderem über einen ungewöhnlichen User-Agent einer veralteten Teams-Version, der in legitimen Umgebungen kaum noch verwendet wird. Auch die gezielte Nutzung bestimmter Application IDs, die direkt aus dem öffentlich zugänglichen Code von TeamFiltration stammten, lieferten wichtige Hinweise auf den Missbrauch des Tools. Auffällig war zudem, dass die Angreifer regelmäßig zwischen verschiedenen AWS-Regionen wechselten, um ihre Herkunft zu verschleiern und einer Entdeckung zu entgehen.
Darüber hinaus zeigte sich, dass die Angriffe in kurzen, intensiven Wellen erfolgten, gefolgt von mehrtägigen Ruhephasen. Während der Angriffsphasen wurden binnen weniger Stunden zahlreiche Konten eines Unternehmens ins Visier genommen. Die Analyse der Quell-IP-Adressen ergab, dass der Großteil der Attacken aus den USA, Irland und Großbritannien stammt.
Proofpoint betont, dass die Unterscheidung zwischen legitimen Sicherheitstests und echten Angriffen zunehmend schwieriger wird, da in beiden Fällen auf ähnliche Werkzeuge zurückgegriffen wird. Die Experten raten Unternehmen daher dringend, ihre Detektionsmechanismen kontinuierlich weiterzuentwickeln und insbesondere auf ungewöhnliche Zugriffsmuster, verdächtige User-Agents sowie bekannte Indikatoren wie bestimmte IP-Adressen zu achten. Mit dem Siegeszug cloudbasierter Arbeitsumgebungen und der zunehmenden Professionalisierung der Angreifer wachse auch die Gefahr, dass solche fortschrittlichen Tools künftig noch häufiger für kriminelle Zwecke eingesetzt werden.
Neueste Kommentare
Noch keine Kommentare zu Legitimes Sicherheitstool für Angriffe auf Microsoft-Konten missbraucht
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.