6月14日,IT之家报道,安全企业Proofpoint发布信息,指出黑客实施了一项代号UNK_SneakyStrike的攻击活动,此行动专门针对微软的Entra ID系统,采用了“密码喷洒”的攻击手段。自2023年12月份开始,这一系列攻击已经波及了超过8万个用户账户,并且其中不少账户已经被黑客成功破解。
Proofpoint 的研究显示,黑客所采用的工具名为 TeamFiltration,该工具由一位安全专家在 2021 年所创制,最初设计用于红队进行渗透测试和风险评价,旨在模拟针对 Microsoft Azure 用户的攻击活动。然而,这个工具竟然被黑客直接应用于实际的攻击活动中,他们甚至对其进行了恶意修改,使其具备了账户扫描、密码散布、数据窃取,以及通过OneDrive植入后门等多种功能。
IT之家根据相关报告得知,黑客起初通过社工库和Microsoft Teams的API获取了一部分Entra ID账号,接着运用TeamFiltration工具,利用通用密码库对相关账号实施暴力破解尝试(即所谓的“密码喷洒”攻击),一旦破解成功,便能够获取用户的Outlook邮件、下载OneDrive文件,查看Teams聊天记录、联系人和日程等信息,并将含有恶意宏的Word或Excel文件上传至OneDrive,进而实现对相应账号的长期控制。
针对这一问题,安全机构强调,用户需主动更新个人账户的登录凭证,同时采纳复杂度高的密码组合,以此抵御可能发生的“密码倾倒”型恶意攻击。
