安全公司曝光紅隊測試工具被黑客濫用，用于持續對微軟 Entra ID 進行“密碼噴灑”攻擊

IT之家 6 月 14 日消息，安全公司 Proofpoint 發文，透露有黑客發起一項名為 UNK_SneakyStrike 的攻擊行動，持續針對微軟 Entra ID 發動“密碼噴灑”攻擊（Password Spraying），自 2023 年 12 月起，相應攻擊行動已影響超過 8 萬個用戶賬號，且已有多個賬號已被成功入侵。

根據 Proofpoint 的分析，黑客所使用的工具名為 TeamFiltration，是一位安全研究員于 2021 年開發的工具，原本用于紅隊滲透測試和風險評估，模擬對 Microsoft Azure 用戶的攻擊行為。然而，該工具卻被黑客直接用于真實攻擊行動，并通過魔改實現了賬戶枚舉、密碼噴灑、數據抓取、以及通過 OneDrive 植入后門等功能。

IT之家參考相應報告獲悉，黑客首先利用社工庫及 Microsoft Teams 的 API 獲取一批 Entra ID 賬號，隨后利用 TeamFiltration，使用常見密碼庫對相應賬號進行暴力登錄測試（即“Password Spraying 密碼噴灑”攻擊），一旦成功登錄，就可導出用戶的 Outlook 郵件、下載 OneDrive 文件，訪問 Teams 聊天記錄、聯系人和日歷等信息，并上傳嵌入惡意宏的 Word 或 Excel 文件至 OneDrive，從而讓黑客能夠持久控制相應賬號。

對此，安全公司表示，用戶應當積極修改自己的賬號密碼，并使用高強度密碼以避免遭到相應“密碼噴灑”式暴力入侵。