Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer.
Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer
Hackere fra gruppen UNK_SneakyStrike har siden desember 2024 benyttet det offentlige rammeverket TeamFiltration for passordsprøyteangrep mot mer enn 80 000 Microsoft Entra ID-kontoer i hundrevis av organisasjoner. Angrepene skjer i bølger med opptil 16 500 kontoer per dag. TeamFiltration kartlegger brukere, sprøyter passord, eksfilerer data og legger inn bakdører via O365/EntraID. Angrepene identifiseres blant annet ved en sjelden user-agent, OAuth-klient‑ID-er, utdatert Secureworks FOCI-snapsjott, og trafikk via AWS og Office 365 Basic-kontoer. Angrepene har resultert i flere konto-overtakelser.
Blokker IP-adresser som er listet som kompromitterte i IOC‑seksjonen. Opprett overvåkingsregler for bruk av TeamFiltration sin user‑agent‑streng. Aktiver MFA på alle brukerkontoer. Implementer og håndhev OAuth 2.0. Bruk betinget tilgang (Conditional Access Policies) i Microsoft Entra ID for å begrense tilganger og sikring.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.