安全公司曝光紅隊(duì)測試工具被黑客濫用，用于持續(xù)對微軟 Entra ID 進(jìn)行“密碼噴灑”攻擊

IT之家 6 月 14 日消息，安全公司 Proofpoint 發(fā)文，透露有黑客發(fā)起一項(xiàng)名為 UNK_SneakyStrike 的攻擊行動，持續(xù)針對微軟 Entra ID 發(fā)動“密碼噴灑”攻擊（Password Spraying），自 2023 年 12 月起，相應(yīng)攻擊行動已影響超過 8 萬個用戶賬號，且已有多個賬號已被成功入侵。

根據(jù) Proofpoint 的分析，黑客所使用的工具名為 TeamFiltration，是一位安全研究員于 2021 年開發(fā)的工具，原本用于紅隊(duì)滲透測試和風(fēng)險評估，模擬對 Microsoft Azure 用戶的攻擊行為。然而，該工具卻被黑客直接用于真實(shí)攻擊行動，并通過魔改實(shí)現(xiàn)了賬戶枚舉、密碼噴灑、數(shù)據(jù)抓取、以及通過 OneDrive 植入后門等功能。

IT之家參考相應(yīng)報告獲悉，黑客首先利用社工庫及 Microsoft Teams 的 API 獲取一批 Entra ID 賬號，隨后利用 TeamFiltration，使用常見密碼庫對相應(yīng)賬號進(jìn)行暴力登錄測試（即“Password Spraying 密碼噴灑”攻擊），一旦成功登錄，就可導(dǎo)出用戶的 Outlook 郵件、下載 OneDrive 文件，訪問 Teams 聊天記錄、聯(lián)系人和日歷等信息，并上傳嵌入惡意宏的 Word 或 Excel 文件至 OneDrive，從而讓黑客能夠持久控制相應(yīng)賬號。

對此，安全公司表示，用戶應(yīng)當(dāng)積極修改自己的賬號密碼，并使用高強(qiáng)度密碼以避免遭到相應(yīng)“密碼噴灑”式暴力入侵。