出典: dennizn via Alamy Stock Photo
単一の脅威が、Microsoft Entra IDアカウントを侵害するために設計されたオープンソースのペネトレーションテストフレームワークであるTeamFiltrationの悪用の急増を引き起こしました。
Proofpointの新しい研究によると、12月に初めて観測されたアクティブなアカウント乗っ取り(ATO)キャンペーンが、約100のクラウドテナントにわたって80,000のユーザーアカウントを標的にしました。このキャンペーンはProofpointの研究者によって「UNK_SneakyStrike」と名付けられ、TeamFiltrationフレームワークを利用して列挙とパスワードスプレー攻撃を実行します。
このフレームワークは、セキュリティ研究者のMelvin Langvikによって開発され、DEFCON 30で発表されました。また、データの流出やOneDrive内のバックドアとして機能する類似ファイルを通じてアカウントへの持続的なアクセスを確立する機能も含まれています。
Proofpointの研究者は、UNK_SneakyStrikeを通じた成功したATO攻撃の「いくつかの事例」を観察したと述べており、これは単一の脅威アクターの仕業であると考えられています。
TeamFiltration攻撃の仕組み
TeamFiltrationは、Microsoftの技術アーキテクチャのいくつかの側面、特にTeams APIやシングルサインオンのためのOAuth実装を利用します。このフレームワークは、Teams APIを通じてターゲット環境でユーザーアカウントを検証し、ユニークなIPアドレスの回転を通じてパスワード試行を生成することで、列挙とパスワードスプレーを自動化します。
関連:Agentic AIがGartnerのSRMサミットを支配
研究者たちは、TeamFiltrationがパスワードスプレー機能を開始するためにデフォルトでAWSアカウントを必要とすると説明しました。「これらの試行は、AWSリージョンを体系的に回転させ、各パスワードスプレーの波が新しい地理的な場所の異なるサーバーから発信されるようにします」と彼らは書いています。
TeamFiltrationがアカウントの有効なパスワードを取得すると、フレームワークはターゲットネットワークの条件付きアクセスポリシーのギャップを悪用しようとします。例えば、LangvikはDEFCON 30のプレゼンテーションで、2020年に顧客に対するペネトレーションテスト中に、MicrosoftアカウントがTeamsを除くすべてのアプリケーションで多要素認証(MFA)を持っていることを発見しました。条件付きアクセスポリシーの誤設定は、Langvikにとって足がかりとなるのに十分でした。
さらに、TeamFiltrationは、SecureWorksの研究者が最初に「ファミリーリフレッシュトークン」(FRT)と呼んだMicrosoftのOAuth実装を利用するように設計されています。攻撃者がFRTを持つアプリケーションにアクセスすると、Microsoft Entra(旧称Azure Active Directory)のクライアントIDファミリー内のすべてのアプリケーションに対するアクセストークンを発行することができます。
関連:マルチリージョンクラウドアーキテクチャのセキュリティの落とし穴と解決策
そこから、フレームワークは侵害されたアカウントからのデータの流出を自動化します。Langvikは、これがTeamFiltrationの「主力」であると述べました。例えば、侵害されたTeamsアカウントの場合、フレームワークはすべてのチャットログ、添付ファイル、連絡先を自動的に取得しますと彼はDEFCON 30のプレゼンテーションで述べました。
TeamFiltrationの悪用の増加
Proofpointの研究者たちは、UNK_SneakyStrike攻撃が2024年12月に始まり、1月にピークに達したと述べました。同社によれば、最近のTeamFiltration活動の急増はATOキャンペーンによって引き起こされました。ペネトレーションテストフレームワークの正当な使用とは異なり、この活動は「非常に集中した突発的な」ログイン試行によって強調された広範かつ無差別な標的化を示しました。
「UNK_SneakyStrikeの標的化戦略は、小規模なクラウドテナント内のすべてのユーザーアカウントにアクセスしようとし、大規模なテナントでは一部のユーザーにのみ焦点を当てることを示唆しています。この行動は、望ましくないアカウントをフィルタリングするために設計されたツールの高度なターゲット取得機能と一致しています」と研究者たちは書いています。
Proofpointの脅威研究者たちは、他のアクターが小規模な規模でTeamFiltrationを悪用しているかもしれないが、活動の急増はUNK_SneakyStrikeに起因するとDark Readingに声明を出しました。彼らはまた、脅威アクターがTeamFiltrationのような高度な侵入ツールやペネトレーションテストプラットフォームの使用を増やすと予想しています。
関連:CISAがCommvault SaaS環境を標的とした攻撃を警告
「TeamFiltrationのクラウド攻撃における利点は、正当なサービスやAPIを通じて動作し、ステルス性のある持続的なアクセスを可能にすることです」と脅威研究者たちは声明で述べました。「有効な資格情報や時にはクラウドアクセス(AWSやAzureアカウントなど)が必要かもしれませんが、そのクラウドネイティブな設計により、攻撃者は通常のユーザー活動に溶け込むことができ、従来のペネトレーションテストツールと比較して検出が難しくなります。」
Proofpointは、組織がUNK_SneakyStrikeの侵害指標を行動分析や他の脅威インテリジェンスソースからの追加の入力とともにレビューすることを推奨しました。ATO攻撃を防ぐために、組織はすべてのアカウントとアプリケーションにMFAを実装し、脅威アクターによって悪用される可能性のあるギャップを特定して修正するためにアクセスポリシーをレビューする必要があります。