Plus de 80 000 comptes Microsoft Entra ID ciblés par des attaques par pulvérisation de mots de passe !
Plus de 80 000 comptes Microsoft Entra ID appartenant à des centaines d'organisations ont été pris pour cible par un groupe de pirates. Cette campagne menée par UNK_SneakyStrike a déjà mené à la compromission de plusieurs comptes. Voici l'essentiel à retenir.
TeamFiltration : l'outil au cœur de l'attaque
Cette campagne mise en lumière par les chercheurs en sécurité de chez Proofpoint a démarré en décembre 2024. D'après les chercheurs, les pirates du groupe appelé UNK_SneakyStrike sont à l'origine de ces attaques et ces derniers font usage d'un outil de pentesting open source pour tenter de compromettre des comptes Microsoft Entra ID : TeamFiltration.
Publié en 2022 par Melvin Langvik, chercheur chez TrustedSec, cet outil est capable d'accomplir plusieurs tâches comme l'énumération de comptes sur les services Microsoft, des attaques par password spraying (tentatives de compromission de comptes avec des mots de passe communs), ou encore l'exfiltration de données. C'est la chaine user-agent utilisé par cet outil, et repéré par Proofpoint, qui a permis d'affirmer l'utilisation de TeamFiltration dans le cadre de cette attaque.
Cette campagne cible massivement les comptes Microsoft Entra ID depuis plusieurs mois, avec des pics d'activité suivis généralement par plusieurs jours de calme. Le plus important date du 8 janvier dernier, avec pas moins de 16 500 comptes ciblés en une seule journée. Au total, plus de 80 000 comptes ont été pris pour cible.
"Depuis décembre 2024, l'activité de UNK_SneakyStrike a affecté plus de 80 000 comptes utilisateurs ciblés dans des centaines d'organisations, entraînant plusieurs cas de prise de contrôle de compte réussie.", explique Proofpoint.
Les attaquants ont utilisé des serveurs AWS dans plusieurs régions et un compte Office 365 légitime. Ce compte Microsoft, associé à une licence Microsoft 365 Business Basic, a été utilisé pour abuser de l'API Microsoft Teams à des fins d'énumération de comptes.
"La fonction d'énumération de TeamFiltration s'appuie sur le compte jetable et l'API de Microsoft Teams pour vérifier l'existence de comptes d'utilisateurs dans un environnement Microsoft Entra ID donné avant de lancer des tentatives de pulvérisation de mots de passe.", peut-on lire.
Plus de la moitié de ces attaques sont effectuées depuis trois pays : "Les trois principales sources géographiques (par nombre d'adresses IP) liées à l'activité malveillante sont les suivantes : États-Unis (42%), Ireland (11%), Grande-Bretagne (8%).", précisent les chercheurs dans leur rapport.
Comment se protéger ?
Proofpoint recommande de bloquer toutes les adresses IP associées à ces attaques et de créer des règles de détection spécifiques pour la chaîne du user agent de TeamFiltration. En complément, l'activation de l'authentification multifacteur (MFA) reste une bonne pratique. En consultant le rapport de Proofpoint, vous pouvez récupérer la liste des adresses IP malveillantes associées à ces attaques.
