Aanvallers gebruiken pentesting-tool TeamFiltration voor een grootschalige campagne tegen Office 365-accounts. De aanvallen, toegeschreven aan UNK_SneakyStrike, richten zich tot nu toe op meer dan 80.000 gebruikersaccounts.
Sinds december vorig jaar vonden aanvallen plaats op ongeveer 100 cloud-tenants. Het patroon toont geconcentreerde bursts van activiteit, gevolgd door rustige periodes van vier tot vijf dagen. Bij kleinere organisaties proberen aanvallers toegang te krijgen tot alle gebruikersaccounts. Bij grotere bedrijven richten ze zich slechts op een selectie.
De aanvallen maken gebruik van AWS-infrastructuur verspreid over meerdere regio’s. De Verenigde Staten (42 procent), Ierland (11 procent) en Groot-Brittannië (8 procent) vormen de belangrijkste bronlocaties. TeamFiltration vereist een AWS-account en een “sacrificial” Office 365-account om de enumeratiefunctie te laten werken.
Van pentesting naar malafide activiteit
Security-onderzoekers van Proofpoint zien een sterke toename in het misbruik van TeamFiltration. De tool, oorspronkelijk ontwikkeld voor legitieme penetratietests, wordt nu ingezet voor grootschalige account takeover-campagnes. TeamFiltration biedt aanvallers mogelijkheden voor account enumeratie, password spraying en data-extractie uit Office 365-omgevingen.
Daaarbij kan de tool ook een “backdoor” creëren via OneDrive. Hiermee vervangen aanvallers bestaande bestanden met malware-gevulde alternatieven. Dit stelt hen in staat om persistent toegang te behouden en verder door netwerken te bewegen.
Unieke kenmerken maken detectie mogelijk
Proofpoint identificeerde TeamFiltration-activiteit door een specifieke user agent die de tool gebruikt. Deze user agent simuleert een verouderde versie van Microsoft Teams en komt zelden voor in legitieme omgevingen. Dit maakt het een betrouwbare indicator voor misbruik.
Daarnaast vonden onderzoekers dat TeamFiltration toegang probeert te krijgen tot applicaties die incompatibel zijn met het apparaat waarop het draait. Deze eigenaardigheid wijst op user agent spoofing. Ook gebruikt de tool een voorgedefinieerde lijst van Microsoft OAuth client-applicaties. Deze lijst komt grotendeels overeen met eerdere onderzoeken naar zogenaamde “family refresh tokens”.
Tip: Pentest: hoogste privileges verkregen bij 86 procent van interne bedrijfsnetwerken