Missbrauch des Pentesting Toosl TeamFiltration Hacker übernehmen Entra-ID-Konten

Mehr als 80.000 Entra-ID-Nutzerkonten sind bereits ins Visier einer groß­angelegten Angriffskampagne geraten. Dabei missbrauchen Cyberkriminelle das Pentesting Tool TeamFiltration, tarnen ihre Aktivitäten als legitimen Sicherheitstest und kompromittieren gezielt Microsoft-Cloud-Konten.

Bereits seit Dezember 2024 wird den Analysten von Proofpoint zufolge das Pentesting-Framework „TeamFiltration“ von Cyberkriminellen missbraucht. Im Rahmen einer aktiven Angriffskampagne würden die Akteure auf ausgefeilte Methoden setzen, wie systematisches Passwort-Spraying, um Microsoft-Entra-ID-Konten zu übernehmen. Dabei würden sie sich gezielt Schwachstellen in Cloud-Umgebungen zunutze machen. Seit der ersten Entdeckung durch Proofpoint seien über 80.000 Benutzerkonten in rund 100 Organisationen von diesem Angriff betroffen, was bereits zu mehreren erfolgreichen Account-Takeovern geführt habe.

Sicherheitslückein Entra ID/Azure AD

Angreifer können in Azure AD ihre Rechte ausweiten

So nutzen Cyberkriminelle TeamFiltration aus

Das Open Source Tool TeamFiltration wurde ursprünglich konzipiert, um IT-Mitarbeitenden bei der Erkennung und Behebung von Sicherheitslücken in Office-365- und Azure-Umgebungen zu unterstützen. Durch die Manipulation seien die Angreifer nun in der Lage, das Tool für folgende Aktivitäten nutzen:

• Identifizierung gültiger Benutzerkonten in einer Zielumgebung

• Passwort-Spraying, um mithilfe gängiger oder systematisch variierter Passwörter Nutzerkonten zu kompromittieren

• Extrahierung von Informationen wie E-Mails, Dateien und anderen wertvollen Daten

• „Backdooring“ über OneDrive, einen dauerhaften Zugriff zu erhalten und potenzielle laterale Bewegung zu ermöglichen. Dafür würden die Akteure schädliche Dateien auf das OneDrive des Ziels hochladen und vorhandene Dateien, zum Beispiel auf dem Desktop, durch ähnliche Dateien ersetzen. Diese Dateien würden Malware oder makrobasierte Payloads enthalten, um den Fremdzugriff wiederherzustellen oder Ziele weiter zu kompromittieren.

Neuer Remote Access Trojaner für Android

Android-Malware BingMod kann Überweisungen tätigen

Dafür, dass TeamFiltration für eine große Kampagne genutzt werden könnte, um Cloud-Identitäten zu kompromittieren, fanden die Cybersicherheitsanalysten unter anderem folgende Hinweise, als sie den Quellcode auf technische Auffälligkeiten untersuchten:

• Ein veralteter User-Agent-String, der in produktiven Unternehmensumgebungen kaum noch zu beobachten ist, wies auf eine ältere Version von Microsoft Teams hin. Das wiederholte Auftreten des Strings in Verbindung mit verdächtigen Aktivitäten lieferte einen ersten starken Hinweis auf missbräuchlichen den Einsatz von TeamFiltration.

• Darüber hinaus fiel den Forschern eine Reihe ungewöhnlicher Anmeldeversuche auf, bei denen sich Systeme über Geräte authentifizieren wollten, die nicht zu den jeweiligen Microsoft-Anwendungen passten. Dieses Verhalten deutet auf ein gezieltes User-Agent-Spoofing hin – eine Technik, mit der Angreifer versuchen, ihre tatsächliche Infrastruktur zu verschleiern.

• Ein weiterer Hinweis ergab sich aus dem Vergleich der bei den Angriffen genutzten Microsoft-Anwendungskennungen (Client-IDs) mit dem öffentlich einsehbaren Quellcode von TeamFiltration. Die auffällige Client-ID-Konfiguration lieferte den klaren technischen Fingerabdruck, der TeamFiltration als eingesetztes Angriffswerkzeug entlarvte.

Nutzer schützen, Angriffe anzeigen, Richtlinien erstellen

Microsoft Entra ID Protection in der Praxis

Außerdem konnten die Proofpoint-Analysten feststellen, dass die Angreifer über AWS-Infrastrukturen aus verschiedenen Regionen operieren und mithilfe sogenannter „Sacrificial Accounts” sowie gezielter Manipulationen an OneDrive-Dateien ihre Spuren geschickt verwischen würden. Bei den Sacrificial Accounts handle es sich um entbehrliche Nutzerkonten, das zum einen strategisch angelegt worden sei, um damit Pentests mit TeamFiltration durchzuführen. Und zu anderen, um damit herauszufinden, welche möglichen Zielkonten bereits existieren. Dabei gelinge es den Akteuren, nicht nur einzelne Nutzerkonten zu kompromittieren, sondern in kurzer Zeit ganze Organisationen ins Visier zu nehmen. Die Angriffe würden in intensiven Wellen erfolgen, gefolgt von mehreren Tagen Ruhe. Während dieser Angriffspshase würden die Angreifer innerhalb weniger Stunde zahlreichen Konten eines Unternehmens ins Visier nehmen. Die Analyse der Quell-IP-Adressen habe ergeben, dass der Großteil der Attacken aus den USA, Irland und Großbritannien stamme. Somit würden sich Rückschlüsse auf die Infrastruktur und die Internationalität der Angreifer ziehen lassen.

Malvertising

Vietnamesische Hacker faken Werbeanzeigen, um Daten zu stehlen

Schutzmaßnahmen vor gefakten Pentests

Eine Liste mit Indicators of Compromise (IoCs), die Proofpoint nach der Analyse veröffentlicht hat, enthält verdächtige IP-Adressen, einen auffälligen User-Agent-String sowie Hinweise auf spezifische Client-IDs, mit denen sich Anmeldeversuche bestimmten Angriffsmustern zu­ord­nen lassen können sollen. Mithilfe der IoCs können Unternehmen ihre SIEM-, EDR- und Firewall-Systeme verbessern, um verdächtige Zugriffe frühzeitig zu erkennen und ein­zu­däm­men. Darüber hinaus empfiehlt der Hersteller, die Threat Detection mit Verhaltens­analysen und kontextbezogener Threat Intelligence zu kombinieren. Dies helfe dabei, legitime Pentests von echten Angriffen zu unterscheiden.

Der Echtzeit-Blick auf die IT-Security

Wenn Millisekunden über IT-Sicherheit entscheiden

(ID:50453890)