黑客利用 TeamFiltration 开源工具，攻击超 8 万微软 Entra ID 账户

网络安全研究人员发现了一场新型账户接管（ATO）攻击活动，攻击者利用名为TeamFiltration的开源渗透测试框架入侵微软Entra ID（原Azure Active Directory）用户账户。该活动被Proofpoint命名为UNK_SneakyStrike，自2024年12月登录尝试激增以来，已针对数百家组织的云租户、超8万个用户账户发起攻击，并成功接管了部分账户。

企业安全公司Proofpoint披露：“攻击者利用Microsoft Teams API和分布于全球多地的亚马逊云服务（AWS）服务器发起用户枚举（user-enumeration）和密码喷射（password-spraying）攻击。入侵成功后，攻击者进一步利用对Microsoft Teams、OneDrive、Outlook等原生应用的访问权限窃取数据。”

TeamFiltration由研究员Melvin “Flangvik” Langvik于2022年8月DEF CON安全会议上公开发布。该框架被描述为一种跨平台工具，专门用于枚举、喷射、窃取凭证及植入后门以控制Entra ID账户。其核心功能包括通过密码喷射攻击实现账户接管、窃取目标账户数据，以及将恶意文件上传至受害者的OneDrive账户以维持持久访问权限。

虽然使用TeamFiltration需搭配AWS账户和一次性Microsoft 365账户，但Proofpoint观察到：攻击者使每次密码喷射均来自不同地理位置的新服务器，以此规避检测。攻击呈现“高度集中爆发→静默期”的循环模式：针对单一云环境内多名用户发起密集攻击，随后进入4至5天的静默期。2025年1月初单日攻击峰值达16,500个账户。

按恶意IP数量统计的攻击源地理分布为：美国（42%）、爱尔兰（11%）、英国（8%）。Proofpoint分析指出：“UNK_SneakyStrike对小型云租户尝试入侵所有用户账户，而对大型租户仅锁定部分目标账户。此策略与该工具的高级目标筛选功能高度吻合，旨在过滤低价值账户。”

此次事件再次证明：网络安全工具可能被威胁行为者武器化，通过滥用这类工具可突破用户账户防线、窃取敏感数据并建立持久控制据点。

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；