サイバーセキュリティ研究者たちは、TeamFiltrationというオープンソースのペネトレーションテストフレームワークを利用してMicrosoft Entra ID(旧Azure Active Directory)ユーザーアカウントに侵入する新しいアカウント乗っ取り(ATO)キャンペーンを発見しました。
Proofpointによって<強>UNK_SneakyStrikeとコードネームが付けられたこの活動は、2024年12月にログイン試行の急増が観測されて以来、数百の組織のクラウドテナントにわたって80,000以上のターゲットユーザーアカウントに影響を与え、アカウントの乗っ取りに成功しました。
「攻撃者はMicrosoft Teams APIとさまざまな地理的地域に位置するAmazon Web Services(AWS)サーバーを利用して、ユーザー列挙とパスワードスプレー攻撃を開始します」と企業セキュリティ会社は述べました。「攻撃者はMicrosoft Teams、OneDrive、Outlookなどの特定のリソースやネイティブアプリケーションへのアクセスを悪用しました。」
TeamFiltrationは、研究者Melvin “Flangvik” Langvikによって2022年8月にDEF CONセキュリティ会議で公開され、Entra IDアカウントを「列挙、スプレー、データ流出、バックドア化」するためのクロスプラットフォームフレームワークとして説明されています。
このツールは、パスワードスプレー攻撃、データ流出、ターゲットのMicrosoft OneDriveアカウントに悪意のあるファイルをアップロードすることで持続的なアクセスを可能にする広範な機能を提供します。
このツールは、パスワードスプレーやアカウント列挙機能を促進するためにAmazon Web Services(AWS)アカウントと使い捨てのMicrosoft 365アカウントを必要としますが、Proofpointは、各パスワードスプレーの波が新しい地理的場所の異なるサーバーから発信されるようにこれらの活動を実行するためにTeamFiltrationを利用した悪意のある活動の証拠を観察したと述べました。
悪意のある活動に関連するIPアドレスの数に基づく主な3つの地理的出所は、アメリカ合衆国(42%)、アイルランド(11%)、イギリス(8%)です。
UNK_SneakyStrikeの活動は「大規模なユーザー列挙とパスワードスプレー攻撃」と説明されており、無許可のアクセス試行は「非常に集中した突発的な」形で単一のクラウド環境内の複数のユーザーを標的にしています。これに続いて4〜5日間の沈黙が続きます。
この発見は、サイバーセキュリティ専門家を支援するために設計されたツールが、脅威アクターによってユーザーアカウントを侵害し、機密データを収集し、持続的な足場を確立するためのさまざまな悪意のある行動を実行するために悪用される可能性があることを再び強調しています。
「UNK_SneakyStrikeのターゲティング戦略は、小規模なクラウドテナント内のすべてのユーザーアカウントにアクセスしようとする一方で、大規模なテナントでは一部のユーザーにのみ焦点を当てることを示唆しています」とProofpointは述べました。「この行動は、望ましくないアカウントを除外するように設計されたツールの高度なターゲット取得機能と一致します。」
翻訳元: https://thehackernews.com/2025/06/over-80000-microsoft-entra-id-accounts.html