据网络安全公司Proofpoint的研究人员透露,自去年12月以来,一个名为UNK_SneakyStrike的威胁活动开始利用TeamFiltration渗透测试框架,攻击全球数百个组织的超过80,000个Microsoft Entra ID账户。该活动的高峰期发生在1月8日,当天攻击了16,500个账户,随后几天出现停滞。
TeamFiltration是一个跨平台框架,用于枚举、喷涂、外流和后门化O365 EntraID账户,由TrustedSec的红队研究员Melvin Langvik于2022年发布。在UNK_SneakyStrike活动中,TeamFiltration成为大规模入侵的重要工具。攻击者使用多个地区的AWS服务器发起攻击,并用一个具有商业基本许可的Office 365账户滥用Microsoft Teams API进行账户枚举。
攻击主要来自美国(42%)、爱尔兰(11%)和英国(8%)的IP地址。Proofpoint建议组织封锁所有相关IP并为Microsoft Entra ID用户启用多因素认证。