Oare Ai Fost Deja Compromis?
Oare Ai Fost Compromis?
Cursuri
Articole educative Module video Cyber Security Tips Quiz
Noutăți Despre noi Devino membru

Atenție! Campanie Masivă de Preluare a Conturilor Microsoft Entra ID

Atenție! Campanie Masivă de Preluare a Conturilor Microsoft Entra ID

-

Rating: 0.0 (0 voturi)
Noutăți 18.06.2025

Cercetătorii în securitate cibernetică au descoperit o nouă campanie de preluare a conturilor (ATO) care folosește TeamFiltration, un cadru de testare la penetrare open-source, pentru a compromite conturile de utilizator Microsoft Entra ID (fostul Azure Active Directory). Această activitate, denumită UNK_SneakyStrike de Proofpoint, a vizat peste 80.000 de conturi de utilizator din sute de organizații, observându-se o creștere bruscă a tentativelor de autentificare din decembrie 2024, care au dus la preluări reușite de conturi. Atacatorii utilizează API-ul Microsoft Teams și servere Amazon Web Services (AWS) din diverse regiuni geografice pentru a lansa încercări de enumerare a utilizatorilor și de "password spraying".

TeamFiltration, lansat public în august 2022, este un cadru multi-platformă conceput pentru a "enumera, pulveriza, exfiltra și a crea backdoor-uri" în conturile Entra ID. Instrumentul permite preluarea conturilor prin atacuri de tip password spraying, exfiltrarea datelor și menținerea accesului prin încărcarea de fișiere malițioase în conturile Microsoft OneDrive ale țintelor. Proofpoint a observat că, deși instrumentul necesită un cont AWS și un cont Microsoft 365 de unică folosință, atacurile sunt lansate din servere diferite în noi locații geografice, cu un vârf de 16.500 de conturi vizate într-o singură zi la începutul lunii ianuarie 2025.

Activitatea UNK_SneakyStrike a fost descrisă ca "tentative la scară largă de enumerare a utilizatorilor și de password spraying", cu eforturi de acces neautorizat ce apar în "explozii foarte concentrate", vizând mai mulți utilizatori într-un singur mediu cloud, urmate de o pauză de patru-cinci zile. Aceste descoperiri subliniază modul în care instrumentele concepute pentru profesioniștii din securitate cibernetică pot fi deturnate de actori malițioși pentru a compromite conturi, a colecta date sensibile și a stabili puncte de acces persistente în organizații.



Sfaturi Esențiale de Securitate: Protejarea Conturilor Microsoft Entra ID

Având în vedere campania UNK_SneakyStrike care a vizat peste 80.000 de conturi Microsoft Entra ID prin TeamFiltration (enumerare utilizatori, password spraying, exfiltrare date via MS Teams/OneDrive/Outlook), iată acțiuni cheie de protecție:


1. Implementează Autentificarea Multi-Factor (MFA):

  • Acțiune: Activează MFA pentru toate conturile utilizatorilor Microsoft Entra ID. E cea mai bună barieră împotriva atacurilor de "password spraying" și preluării conturilor (ATO).
  • Cum: Configurează MFA în Microsoft Entra admin center (Protecție > Autentificare Multi-Factor) pentru toți utilizatorii și grupurile esențiale.


2. Monitorizează Tentativele de Autentificare Suspecte:

  • Acțiune: Fii vigilent la numărul mare de încercări de autentificare eșuate, mai ales din locații geografice neobișnuite sau de pe servere AWS. Atacurile vin în "explozii concentrate".
  • Cum: Accesează Microsoft Entra admin center, apoi navighează la Entra ID > Monitorizare > Logări. Verifică regulat aceste logări pentru activitate suspectă și configurează alerte în Azure Monitor sau SIEM pentru logări eșuate în masă sau din țări neașteptate


3. Detectează Enumerarea Utilizatorilor:

  • Acțiune: Limitați informațiile pe care atacatorii le pot colecta despre utilizatorii din directorul vostru, pentru a îngreuna atacurile de tip password spraying.
  • Cum: Restricționează accesul API la Microsoft Teams sau alte servicii la minimul necesar, conform principiului privilegiului minim. Monitorizează API-urile Microsoft Graph pentru un număr neobișnuit de solicitări de interogare a utilizatorilor.


4. Securizează Aplicațiile și Integrările Microsoft 365:

  • Acțiune: Examinează permisiunile aplicațiilor native (Teams, OneDrive, Outlook) și ale celor terțe integrate cu Microsoft Entra ID. Atacatorii exploatează aceste drepturi de acces.
  • Cum: În Microsoft Entra ID > Aplicații de Enterprise, revizuiește permisiunile acordate. Verifica regulat accesul la OneDrive și alte servicii de stocare pentru fișiere malițioase sau neobișnuite.


5. Utilizează Politici de Acces Condiționat:

  • Acțiune: Implementează reguli care restricționează accesul la resurse bazat pe locație.
  • Cum: Configurează Microsoft Entra ID > Protecție > Acces Condiționat pentru a bloca autentificările din țări cu risc ridicat sau de pe dispozitive neînregistrate.


6. Implementează Detecția Anomaliilor și Threat Intelligence:

  • Acțiune: Folosește capabilitățile Microsoft Entra ID (sau soluții terțe) pentru a identifica activități suspecte ce depășesc simpla monitorizare a logurilor.
  • Cum: Activează Microsoft Entra ID Identity Protection pentru a detecta utilizatori cu risc, logări anonime, atacuri de password spraying și alte anomalii. Integrează feed-uri de threat intelligence despre IP-uri malițioase.


7. Educați Utilizatorii legat de Protejarea Parolelor și Prevenirea Atacurilor de Phishing

  • Acțiune: Deși MFA este cheia, amintiți utilizatorilor importanța parolelor puternice și unice, precum și riscurile atacurilor de phishing care pot duce la compromiterea credențialelor.
  • Cum: Organizează sesiuni de instruire scurte și regulate. Trimite alerte interne despre tactici noi de phishing. Recomandă utilizarea unui manager de parole.


8. Revizuiți și Dezactivați Conturile Inactive sau Suspecte:

  • Acțiune: Eliminați sau suspendați conturile care nu mai sunt necesare sau care prezintă un comportament atipic.
  • Cum: Rulați rapoarte de utilizatori inactivi în Microsoft Entra ID. Investigați orice cont semnalat ca având activitate suspectă și dezactivați-l dacă este necesar.


9.Monitorizează și Controlează Conturile de AWS Utilizate pentru Testare/Dezvoltare:

  • Acțiune: Asigură-te că orice cont AWS folosit, chiar și temporar sau pentru "testare la penetrare", respectă termenii și condițiile AWS, pentru a preveni utilizarea abuzivă în campanii ca TeamFiltration.
  • Cum: Implementează politici stricte de securitate AWS, monitorizează logurile CloudTrail pentru activitate neobișnuită, și dezactivează credențialele AWS neutilizate.


10. Implementează Alerte pentru Perioade de Inactivitate

  • Acțiune: Deoarece atacurile UNK_SneakyStrike alternează cu perioade de inactivitate de 4-5 zile, configurează alerte care semnalează o revenire bruscă a activității de login eșuat după o astfel de pauză.
  • Cum: În sistemul tău SIEM sau în Azure Monitor, setează praguri de alertare care se declanșează la o creștere exponențială a tentativelor de autentificare eșuate, precedate de o perioadă de inactivitate.

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa