Le recenti innovazioni tecnologiche rappresentano un’arma a doppio taglio. Sebbene siano spesso create per portare valore aggiunto alle aziende o difenderle da attacchi informatici sempre più sofisticati, alcuni strumenti possono essere sfruttati dai criminali informatici per esfiltrare dati o compromettere i sistemi operativi delle vittime.
Proofpoint ha scoperto una campagna di account takeover (ATO), definita UNK_SneakyStrike, che utilizza il framework di pentesting TeamFiltration per colpire gli account degli utenti di Entra ID. Da dicembre 2024, questa attività ha interessato oltre 80.000 account in centinaia di aziende, con numerosi takeover riusciti.
Gli attaccanti sfruttano l’API di Microsoft Teams e i server AWS per tentare l’enumerazione degli utenti e il password spraying, accedendo a risorse come Teams, OneDrive e Outlook.
A cosa serve TeamFiltration?
TeamFiltration, uno strumento di pentesting rilasciato pubblicamente nel 2021, automatizza tattiche di ATO come enumerazione degli account, password spraying, esfiltrazione dei dati e persistenza tramite OneDrive. Proofpoint ha identificato questa attività tramite un user agent distintivo, tentativi di accesso da dispositivi incompatibili e l’utilizzo di specifici ID di applicazioni client, che consentono di ottenere “family refresh token” da Azure Active Directory.
La campagna UNK_SneakyStrike è iniziata a dicembre 2024 e ha registrato un picco a gennaio 2025, prendendo tipicamente di mira tutti gli utenti in tenant di piccole dimensioni o un sottoinsieme in quelli più grandi. L’infrastruttura AWS utilizzata dagli attaccanti ruota tra diverse regioni geografiche, con le principali fonti di traffico provenienti da Stati Uniti (42%), Irlanda (11%) e Gran Bretagna (8%).
Dichiarazioni
“Sebbene strumenti come TeamFiltration siano progettati per assistere i professionisti della sicurezza nel testare e migliorare le soluzioni di difesa, possono essere facilmente trasformati in armi dagli attori delle minacce per compromettere gli account, esfiltrare dati sensibili e stabilire punti d’appoggio persistenti”, spiegano i ricercatori di Proofpoint. “Con ogni probabilità i cybercriminali adotteranno sempre più simili strumenti e piattaforme di intrusione avanzati, allontanandosi da quelli meno efficaci”.
