Pesquisadores identificaram uma campanha de roubo de contas em larga escala que comprometeu mais de 80 000 identidades no Microsoft Entra ID (antigo Azure AD). A mobilização começou em dezembro de 2024 e continua com fortes riscos para empresas.
A campanha, chamada UNK_SneakyStrike pela Proofpoint, utilizou o framework open‑source TeamFiltration para realizar ataques de password spraying e enumeração de usuários por meio da API do Microsoft Teams e servidores AWS.
Desde dezembro de 2024, mais de 80 000 contas em centenas de organizações foram afetadas, com invasões que exploram serviços como Teams, OneDrive e Outlook. O TeamFiltration, criado por Melvin "Flangvik" Langvik e lançado durante a DEF CON 2022, facilita o "enumerating, spraying, exfiltrating and backdooring" contas Após comprometer as credenciais, os invasores exfiltram dados e inserem arquivos maliciosos no OneDrive para manter acesso persistente.
As ações de ataque vêm de múltiplas regiões, incluindo EUA (42 %), Irlanda (11 %) e Reino Unido (8 %). O padrão é disparar rajadas concentradas de tentativas de login, com pausas de 4 a 5 dias entre elas. Essa tática permite filtrar alvos em grandes organizações e focar todas as contas em ambientes menores
Dica de prevenção
- Implemente MFA (autenticação multifator) para todas as contas Entra ID, incluindo sistemas de legado
- Bloqueie ou monitore tentativas de password spraying e autenticação via API em massa
- Ative logs de auditoria e alertas para atividades como upload no OneDrive ou sinalizações suspeitas no Teams
- Aplique políticas condicionais de acesso (Conditional Access) limitando origens e horários de acesso
- Revise periodicamente contas com acesso privilegiado e enderece senhas fracas ou expostas
Conheça nossos serviços em: lcsec.io
Compartilhe nas redes sociais:
