Mais de 80 mil contas Microsoft Entra ID comprometidas

Pesquisadores identificaram uma campanha de roubo de contas em larga escala que comprometeu mais de 80 000 identidades no Microsoft Entra ID (antigo Azure AD). A mobilização começou em dezembro de 2024 e continua com fortes riscos para empresas.

A campanha, chamada UNK_SneakyStrike pela Proofpoint, utilizou o framework open‑source TeamFiltration para realizar ataques de password spraying e enumeração de usuários por meio da API do Microsoft Teams e servidores AWS.

Desde dezembro de 2024, mais de 80 000 contas em centenas de organizações foram afetadas, com invasões que exploram serviços como Teams, OneDrive e Outlook. O TeamFiltration, criado por Melvin "Flangvik" Langvik e lançado durante a DEF CON 2022, facilita o "enumerating, spraying, exfiltrating and backdooring" contas  Após comprometer as credenciais, os invasores exfiltram dados e inserem arquivos maliciosos no OneDrive para manter acesso persistente.

As ações de ataque vêm de múltiplas regiões, incluindo EUA (42 %), Irlanda (11 %) e Reino Unido (8 %). O padrão é disparar rajadas concentradas de tentativas de login, com pausas de 4 a 5 dias entre elas. Essa tática permite filtrar alvos em grandes organizações e focar todas as contas em ambientes menores

Dica de prevenção

• Implemente MFA (autenticação multifator) para todas as contas Entra ID, incluindo sistemas de legado
• Bloqueie ou monitore tentativas de password spraying e autenticação via API em massa
• Ative logs de auditoria e alertas para atividades como upload no OneDrive ou sinalizações suspeitas no Teams
• Aplique políticas condicionais de acesso (Conditional Access) limitando origens e horários de acesso
• Revise periodicamente contas com acesso privilegiado e enderece senhas fracas ou expostas