Proofpoint, un acteur majeur dans la recherche de menaces, a récemment mis en lumière une campagne active de prise de contrôle de comptes (ATO), nommée UNK_SneakyStrike, qui utilise le framework de pentesting TeamFiltration pour cibler les comptes utilisateurs Entra ID. Depuis décembre 2024, cette campagne a affecté plus de 80 000 comptes utilisateurs à travers des centaines d’organisations.

Les attaquants exploitent l’API Microsoft Teams et des serveurs Amazon Web Services (AWS) pour mener des tentatives d’énumération d’utilisateurs et de pulvérisation de mots de passe. TeamFiltration, initialement conçu pour des tests de pénétration légitimes, est détourné pour des activités malveillantes, facilitant l’exfiltration de données et l’accès persistant via des applications natives comme Microsoft Teams, OneDrive et Outlook.

Proofpoint a identifié des indicateurs d’activité de TeamFiltration, tels qu’un agent utilisateur distinctif lié à une version obsolète de Microsoft Teams et des tentatives d’accès à des applications de connexion spécifiques à partir de dispositifs incompatibles. Ces comportements anormaux, associés à des listes d’ID d’application client, permettent d’attribuer ces activités à TeamFiltration.

L’article de Proofpoint est une analyse de menace détaillée, visant à informer sur l’utilisation malveillante de TeamFiltration et à alerter sur les tendances croissantes de l’adoption d’outils d’intrusion avancés par les acteurs malveillants.

🧠 TTP et IOC détecté

TTP

T1078 - Valid Accounts, T1110.003 - Password Spraying, T1071.001 - Web Protocols, T1021.001 - Remote Services, T1059.001 - PowerShell, T1566 - Phishing, T1078.004 - Cloud Accounts, T1105 - Ingress Tool Transfer, T1083 - File and Directory Discovery, T1003 - Credential Dumping, T1078.001 - Default Accounts

IOC

User agent distinctive lié à une version obsolète de Microsoft Teams, Tentatives d’accès à des applications de connexion spécifiques à partir de dispositifs incompatibles, Listes d’ID d’application client

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/attackers-unleash-teamfiltration-account-takeover-campaign