Ataques de password-spraying a 80.000 cuentas de Microsoft Entra ~ Segu-Info

Investigadores de seguridad Proofpoint han descubierto una nueva campaña de
adquisición de cuentas (Account TakeOver – ATO) que aprovecha un
framework para realizar pentesting de código abierto, 
 llamado TeamFiltration, para violar las cuentas de usuario de Microsoft
Entra ID (anteriormente Azure Active Directory).

Bautizado como
Unk_sneakystrike por Proofpoint, la campaña se ha dirigido a más de 80.000 cuentas de usuarios en cientos de
clientes en la nube y, desde su inicio en diciembre de 2024, ha logrado
acceder a cientos de organizaciones.
«Los atacantes aprovechan a los servidores de API y Amazon Web Services
(AWS) de Microsoft Teams ubicados en varias regiones geográficas para lanzar
intentos de enumeración de cuentas y password-spraying. Los atacantes
explotaron el acceso a recursos específicos y aplicaciones nativas, como
equipos de Microsoft, OneDrive, Outlook y otros»
.

TeamFiltration, publicado públicamente por el investigador Melvin «Flangvik» Langvik, en
agosto de 2022 en la Conferencia de Seguridad DefCon 30, se describe como un
marco multiplataforma para
«enumerating, spraying, exfiltrating, and backdooring cuentas de Entra
ID».

La herramienta ofrece amplias capacidades para facilitar la adquisición de la
cuenta utilizando ataques de password-spraying, exfiltración de datos y
acceso persistente al cargar archivos maliciosos a la cuenta de Microsoft
OneDrive del objetivo.

Si bien la herramienta requiere una cuenta de Amazon Web Services (AWS) y una
cuenta desechable de Microsoft 365 para facilitar el spraying de
contraseñas y las funciones de enumeración de la cuenta, Proofpoint dijo que
observó evidencia de actividad maliciosa que aprovechó la filtración de equipo
para realizar estas actividades de manera que cada onda de spray se origina de
un servidor diferente en una nueva ubicación geográfica.

En su punto máximo, la campaña dirigió a 16.500 cuentas en un solo día a
principios de enero de 2025. Las tres geografías de fuentes principales
vinculadas a la actividad maliciosa en función del número de direcciones IP
incluyen Estados Unidos (42%), Irlanda (11%) y Gran Bretaña (8%).

La actividad Unk_Sneakystrike se ha descrito como
«intentos de enumeración de usuarios a gran escala en ráfagas altamente
concentradas dirigidas a varios usuarios dentro de un entorno de una sola
nube»
. Esto es seguido por una pausa que dura de cuatro a cinco días.


Los hallazgos resaltan una vez más cómo las herramientas diseñadas para
ayudar a los profesionales de seguridad pueden ser mal utilizados por los
actores de amenazas para llevar a cabo una amplia gama de acciones nefastas
que les permiten violar las cuentas de los usuarios, cosechar datos
confidenciales y establecer puntos de apoyo persistentes.

Fuente:
THN


Ver fuente

Related Post