【安全资讯】黑客利用TeamFiltration框架针对8万个微软Entra ID账户发起密码喷洒攻击

概要：

网络安全公司Proofpoint近日披露，自2024年12月起，名为UNK_SneakyStrike的黑客组织利用TeamFiltration渗透测试框架，对全球数百家机构的8万多个微软Entra ID账户发起大规模密码喷洒攻击。攻击高峰出现在1月8日，单日攻击量达1.65万个账户，已造成多起账户劫持事件。

主要内容：

Proofpoint研究人员发现，攻击者采用TrustedSec红队成员Melvin Langvik于2022年发布的TeamFiltration框架，该工具能对O365 EntraID账户进行枚举、喷洒、数据外泄和后门植入。攻击中，黑客通过硬编码在工具逻辑中的OAuth客户端ID、特殊用户代理字符串等特征被溯源确认。

攻击策略呈现明显针对性：对小规模租户攻击全部用户，对大型租户则精选目标子集。技术分析显示，攻击者滥用微软Teams API进行账户枚举，并利用AWS多区域服务器发起攻击，其中42%攻击源IP位于美国。

安全专家指出，攻击代码中嵌入了Secureworks FOCI项目的过时代码片段，并通过商业基础版Office 365"牺牲账户"实施攻击。建议企业立即封禁Proofpoint公布的IoC清单IP，并强制启用多因素认证和OAuth 2.0协议。