Ciberdelincuentes usan herramientas legítimas para atacar cuentas de Entra ID
Un ataque de password spraying afectó a unos 80,000 usuarios.
Los atacantes lograron comprometer algunas cuentas, accediendo a datos de Microsoft Teams, OneDrive y Outlook.
—
Expertos advierten que hackers están abusando de una herramienta legítima de pruebas de penetración para atacar cuentas de Entra ID mediante ataques de password spraying.
En un análisis compartido con TechRadar Pro, investigadores de Proofpoint revelaron que decenas de miles de cuentas fueron objetivo, y algunas fueron comprometidas.
Los atacantes, aún no identificados, realizaron un ataque a gran escala llamado UNK_SneakyStrike.
Varias cuentas comprometidas
En esta campaña, usaron TeamFiltration, una herramienta legítima creada en 2021 para pruebas de seguridad. Este software automatiza tácticas usadas en cadenas de ataques modernas.
"Como muchas herramientas de seguridad diseñadas para usos legítimos, TeamFiltration también fue usada con fines maliciosos", explicó Proofpoint.
El ataque probablemente comenzó en diciembre de 2024. Usando la API de Microsoft Teams y servidores de AWS en diferentes países, los hackers atacaron 80,000 cuentas en unos 100 inquilinos en la nube.
Los principales países de origen de los ataques fueron:
- EE.UU. (42%)
- Irlanda (11%)
- Reino Unido (8%)
En varios casos, los atacantes robaron acceso a cuentas, obteniendo información valiosa en Teams, OneDrive y Outlook.
No se ha atribuido el ataque a ningún grupo específico, pero los investigadores destacan el peligro de usar herramientas legítimas con fines ilícitos.
"Proofpoint espera que los hackers adopten más herramientas avanzadas como TeamFiltration, dejando métodos menos efectivos."
—
📌 Suscríbete al boletín de TechRadar Pro para las últimas noticias y consejos para tu negocio.