แฮ็กเกอร์กลุ่มหนึ่งได้ใช้เฟรมเวิร์ก TeamFiltration ซึ่งปกติใช้สำหรับทดสอบการเจาะระบบ มุ่งเป้าโจมตีบัญชี Microsoft Entra ID มากกว่า 80,000 บัญชี ในองค์กรหลายร้อยแห่งทั่วโลก
การโจมตีเริ่มขึ้นเมื่อเดือนธันวาคม โดยทำให้สามารถเข้าควบคุมบัญชีได้หลายบัญชี ตามรายงานของบริษัทความปลอดภัยไซเบอร์ Proofpoint ซึ่งระบุว่า กลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังคือ UNK_SneakyStrike โดยจุดพีคของปฏิบัติการเกิดขึ้นในวันที่ 8 มกราคม เมื่อมีการมุ่งเป้าไปที่บัญชีถึง 16,500 บัญชีในวันเดียว ก่อนที่ปฏิบัติการจะหยุดลงไปหลายวัน
TeamFiltration คือ cross-platform framework ที่พัฒนาขึ้นเพื่อใช้ในการสแกนบัญชี, ทดสอบสุ่มรหัสผ่าน, ขโมยข้อมูล และสร้างช่องทาง backdoor บนบัญชี O365 EntraID เฟรมเวิร์กนี้เปิดตัวครั้งแรกในปี 2022 โดย Melvin Langvik นักวิจัย Red Team จาก TrustedSec
ในแคมเปญ UNK_SneakyStrike ที่บริษัท Proofpoint ตรวจพบ เฟรมเวิร์ก TeamFiltration มีบทบาทหลักในการสนับสนุนความพยายามเจาะระบบในระดับวงกว้าง โดยนักวิจัยระบุว่า ผู้โจมตีมักมุ่งเป้าไปยังผู้ใช้งานทั้งหมดใน tenants ขนาดเล็ก ขณะที่ในกรณีของ tenants ขนาดใหญ่ จะเลือกโจมตีเฉพาะกลุ่มผู้ใช้งานบางส่วนเท่านั้น
ตั้งแต่เดือนธันวาคม 2024 เป็นต้นมา ปฏิบัติการของ UNK_SneakyStrike ส่งผลกระทบต่อบัญชีผู้ใช้มากกว่า 80,000 รายในหลายร้อยองค์กรทั่วโลก และมีหลายกรณีที่สามารถยึดบัญชีได้สำเร็จ
นักวิจัยสามารถเชื่อมโยงการโจมตีกับเครื่องมือ TeamFiltration ได้ จากการตรวจพบ user agent ที่พบได้ไม่บ่อย และ OAuth client ID ที่ถูกฝังไว้ในโค้ดของเครื่องมือ นอกจากนี้ยังพบรูปแบบการเข้าถึงระบบที่ไม่สอดคล้องกับแอปพลิเคชันที่รองรับ รวมถึงโค้ดบางส่วนที่มี snapshot เวอร์ชันเก่าของโปรเจกต์ FOCI จาก Secureworks ฝังอยู่ในตัว TeamFiltration
ผู้โจมตีใช้เซิร์ฟเวอร์ AWS หลายภูมิภาคเพื่อกระจายการโจมตี และใช้บัญชี Office 365 แบบ Business Basic ที่เตรียมไว้เฉพาะกิจในการเข้าถึง API ของ Microsoft Teams เพื่อสแกน และระบุบัญชีผู้ใช้งาน
การโจมตีส่วนใหญ่มีต้นทางจากที่อยู่ IP ในสหรัฐอเมริกา (42%) ตามด้วยไอร์แลนด์ (11%) และสหราชอาณาจักร (8%)
องค์กรควรดำเนินการบล็อกที่อยู่ IP ทั้งหมดที่ระบุไว้ใน Indicators of Compromise (IOCs) ของ Proofpoint และสร้าง Rules เพื่อตรวจจับ user agent string ที่เกี่ยวข้องกับ TeamFiltration นอกจากนี้ ควรเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยสำหรับผู้ใช้ทุกคน, enforce OAuth 2.0 และกำหนดนโยบาย conditional access policies ผ่าน Microsoft Entra ID เพื่อเสริมความปลอดภัยเชิงรุก
ที่มา : bleepingcomputer
You must be logged in to post a comment.