Una nueva campaña de ciberataques dirigida a cuentas empresariales ha encendido las alarmas en el entorno corporativo basado en la nube. Investigadores de ciberseguridad han identificado una operación de toma de control de cuentas (ATO, por sus siglas en inglés) que utiliza la herramienta de código abierto TeamFiltration para comprometer credenciales asociadas a Microsoft Entra ID (anteriormente conocido como Azure Active Directory).
La campaña, rastreada bajo el nombre UNK_SneakyStrike por la firma de ciberseguridad Proofpoint, ha apuntado a más de 80.000 cuentas de usuario en cientos de entornos en la nube desde diciembre de 2024. Este ataque masivo se caracteriza por su sofisticación, alta velocidad de ejecución y uso de técnicas evasivas para eludir la detección.
¿Qué es TeamFiltration y cómo se usa en esta campaña?
TeamFiltration es un marco de pruebas de penetración desarrollado por el investigador Melvin “Flangvik” Langvik, presentado por primera vez en DEF CON 30 en 2022. Esta herramienta fue concebida como un recurso legítimo para pruebas de seguridad ofensiva, pero en manos de actores maliciosos, se transforma en una potente plataforma para comprometer entornos basados en Microsoft Entra ID.
Sus principales funcionalidades incluyen:
-
Enumeración de cuentas de usuario
-
Ataques de pulverización de contraseñas (password spraying)
-
Exfiltración de datos confidenciales
-
Carga de archivos maliciosos en cuentas de OneDrive
-
Persistencia mediante puertas traseras
Para ejecutar sus funcionalidades, TeamFiltration requiere el uso de cuentas desechables de Microsoft 365 y una infraestructura basada en Amazon Web Services (AWS). Esto permite a los atacantes lanzar ataques desde distintas ubicaciones geográficas, dificultando su detección y mitigación.
Detalles de la campaña UNK_SneakyStrike
Desde finales de 2024, se ha detectado un aumento significativo en los intentos de inicio de sesión asociados a esta campaña. Según Proofpoint, los atacantes utilizan la API de Microsoft Teams, junto con servidores AWS distribuidos globalmente, para ejecutar oleadas coordinadas de enumeración de usuarios y pulverización de contraseñas. Estas actividades se han dirigido a aplicaciones críticas como Outlook, OneDrive, Microsoft Teams, entre otras integradas en el ecosistema Microsoft 365.
Uno de los puntos más alarmantes es que la campaña ha llegado a dirigirse a 16.500 cuentas en un solo día. Las direcciones IP utilizadas provienen principalmente de tres ubicaciones:
-
Estados Unidos (42 %)
-
Irlanda (11 %)
-
Reino Unido (8 %)
Los ataques ocurren en ráfagas altamente concentradas, es decir, múltiples intentos dirigidos a varios usuarios dentro de una organización específica durante un corto periodo de tiempo. Luego, los atacantes se detienen durante unos cuatro a cinco días antes de lanzar una nueva ofensiva.
Estrategia de segmentación de cuentas
El análisis del comportamiento de UNK_SneakyStrike revela que los atacantes adoptan una estrategia diferenciada según el tamaño del entorno comprometido. En inquilinos pequeños de Microsoft Entra ID, intentan comprometer todas las cuentas de usuario disponibles. En cambio, en entornos más grandes, se enfocan en un subconjunto de cuentas filtradas estratégicamente, lo que sugiere el uso de capacidades avanzadas de evaluación de objetivos dentro del propio TeamFiltration.
Riesgos y consecuencias de la campaña
Esta campaña representa una amenaza directa para la seguridad en la nube empresarial, ya que los atacantes no sólo obtienen acceso inicial mediante credenciales válidas, sino que también tienen la capacidad de:
-
Robar información sensible
-
Persistir en el sistema a largo plazo
-
Escalar privilegios
-
Distribuir malware interno mediante herramientas colaborativas como Teams
Además, el uso de herramientas legítimas de pentesting por parte de actores maliciosos plantea nuevos desafíos a los equipos de seguridad, ya que las detecciones tradicionales podrían no identificar estas acciones como maliciosas debido a su similitud con pruebas autorizadas.
Recomendaciones de seguridad
Para mitigar los riesgos derivados de campañas como UNK_SneakyStrike, se recomienda a las organizaciones que:
-
Implementen autenticación multifactor (MFA) obligatoria para todos los usuarios.
-
Monitoreen patrones de inicio de sesión inusuales, especialmente aquellos que provienen de múltiples ubicaciones geográficas.
-
Analicen los registros de uso de APIs de Microsoft Teams y OneDrive.
-
Establezcan límites de intentos fallidos para prevenir ataques de pulverización de contraseñas.
-
Revisen periódicamente los accesos y permisos a servicios críticos en la nube.
El uso de TeamFiltration como herramienta de ataque en la campaña UNK_SneakyStrike demuestra cómo el ecosistema de pruebas de penetración puede ser aprovechado por actores de amenazas para tomar el control de cuentas empresariales en la nube, comprometiendo la confidencialidad, integridad y disponibilidad de los datos corporativos. Ante esta creciente amenaza, resulta esencial que las empresas refuercen sus estrategias de seguridad en entornos Microsoft Entra ID y adopten una postura proactiva frente a campañas de toma de control de cuentas.
Fuente: The Hacker News
