SECURITY ALERT

Cyberangriff auf 80.000 Microsoft Entra-ID-Konten: Was IT-Sicherheits-Verantwortliche jetzt wissen müssen

Bei der UNK_SneakyStrike-Kampagne handelt es sich um einen ausgeklügelten und groß angelegten Cyberangriff, bei dem Microsoft Entra ID-Umgebungen (früher Azure AD) mithilfe des Pentesting-Tools TeamFiltration ausgenutzt wurden.

Überblick zur Cyberkampagne UNK_SneakyStrike

Die Aktivitäten wurden vom Threat Research Team von Proofpoint entdeckt und unter dem Namen UNK_SneakyStrike veröffentlicht. Die Cyberkampagne ist seit Dezember 2024 aktiv und erreichte ihren Höhepunkt im Januar 2025. Betroffen sind weltweit über 80.000 Microsoft Entra-ID-Konten von mehr als 100 Unternehmen. Die Angreifer missbrauchten das frei verfügbare und weit verbreitete Open-Source-Framework für Penetrationstests, namens TeamFiltration, um sich unbefugten Zugriff auf Benutzerkonten zu verschaffen.

Missbrauch von TeamFiltration

Ursprünglich auf der DEF CON 30 veröffentlicht, ist TeamFiltration ein Tool, um Penetrationstests durchzuführen, das für folgende Aktionen missbraucht wurde:

  • Account Enumeration: identifiziert gültige Benutzernamen über die Microsoft Teams API
  • Password-Spraying: versucht sich mit gängigen Passwörter bei Benutzerkonten anzumelden
  • Daten-Exfiltration: Extrahiert E-Mails, Dateien und sensible Daten
  • Persistenz-Mechanismen: Nutzt OneDrive, um bösartige Dateien hochzuladen, die legitime Dateien imitieren und so ein erneutes Eindringen und weitere Aktionen ermöglichen

Vorgehen und Taktiken der Angreifer

Die Angreifer sind in fünf Schritten vorgegangen:

1. Reconnaissance

Die Angreifer nutzten Microsoft Teams APIs, um gültige Benutzernamen zu ermitteln. Hierfür wurden unter anderem temporäre Office Accounts verwendet, um eine Entdeckung zu vermeiden.

2. Initial Access

Die Passwort-Spraying-Angriffe wurden über die AWS-Infrastruktur gestartet. Die Angreifer verwendeten dabei wechselnde IPs von verschiedenen Regionen (USA, Irland, Großbritannien), um die Ratenbegrenzung und die Entdeckung zu umgehen.

3. Exploitation

Nach dem Zugang verwendeten die Angreifer OAuth-Refresh-Tokens, um einen dauerhaften Zugriff zu behalten. Sie griffen auf Microsoft 365 Services wie Outlook, OneDrive, Teams und OneNote zu.

4. Persistence & Lateral Movement

In OneDrive wurden schädliche Dateien hochgeladen und als legitime Dokumente getarnt. Diese Dateien können Macros oder Schadsoftware enthalten, um einen erneuten Zugriff zu erhalten.

5. Exfiltration

Sensible Daten wurden extrahiert und wahrscheinlich verkauft oder für andere Angriffe verwendet.

Geografische und branchenspezifische Auswirkungen

Es gibt keine spezifische regionale Aufschlüsselung, jedoch führte die intensive Nutzung von Microsoft 365 im Nahen Osten und in Afrika zu Compliance-Bedenken. Vermutlich stehen Finanzdienstleistungen, Regierungsbehörden und IT-Unternehmen prominenter im Fokus.

Ist Ihr Unternehmen von der UNK_SneakyStrike-Kampagne betroffen?

Wir stellen Ihnen einen Code zur Verfügung, mit dem Sie Ihre Systemumgebung prüfen können. Sprechen Sie uns an. Wir unterstützen Sie beim Schutz Ihres Unternehmens.

Kontakt

So können Sie die Risiken für Ihr Unternehmen minimieren

  • Verwenden Sie die Multi-Faktor-Authentifizierung (MFA) für alle Benutzerkonten.

  • Überwachen Sie Login-Versuche von Cloud Providern (insbesondere von AWS).

  • Prüfen Sie die Nutzung der Microsoft Teams API und schränken Sie sie ein.

  • Identifizieren und blockieren Sie Password Spraying Versuche.

  • Löschen Sie ungenutzte oder auffällige OAuth Tokens.

  • Überwachen Sie OneDrive und SharePoint auf ungewöhnliche Datei-Uploads.

  • Führen Sie Richtlinien für einen sicheren Umgang mit Zugriffen ein.

  • Schulen Sie Benutzer im Erkennen von Phishing-Versuchen und im sicheren Umgang mit Zugangsdaten.

  • Setzen Sie verhaltensbasierte Erkennungstools ein, um den Missbrauch von Dual-Use-Tools wie TeamFiltration zu erkennen.

  • Erstellen Sie ein Incident Response Playbook für identitätsbasierte Attacken.

Wie kann der CTEM Service von Cyber Samurai IT-Sicherheits-Beauftragten helfen?

Der CTEM Service von Cyber Samurai basiert auf einer Attack Surface Management (ASM) Plattform. Diese spielt eine zentrale Rolle beim Schutz vor Kampagnen wie UNK_SneakyStrike, indem sie kontinuierliche Transparenz, Risikobewertung und umsetzbare Erkenntnisse über die externe digitale Angriffsfläche Ihres Unternehmens bietet. So unterstützt der Service:

Kontinuierliche Erkennung externer Assets

ASM identifiziert automatisch alle internetzugänglichen Assets, darunter:

  • Microsoft 365-Dienste (z. B. Teams, OneDrive, Outlook)
  • Shadow IT (nicht registrierte oder vergessene Domains, Subdomains, Dienste)
  • Fehlkonfigurierte oder exponierte APIs (wie die in UNK_SneakyStrike genutzte Teams API)

Dadurch wird sichergestellt, dass kein Asset unbeobachtet bleibt – potenzielle Angriffsflächen werden minimiert.

Risikobewertung mit Threat Intelligence

Jedes entdeckte Asset wird mithilfe der Threat Intelligence bewertet, um

  • Bekannte Schwachstellen zu erkennen
  • Offengelegte Zugangsdaten oder Fehlkonfigurationen zu identifizieren
  • Risiken nach Schweregrad und Ausnutzbarkeit zu priorisieren

So können sich Sicherheitsteams auf Maßnahmen mit hoher Wirkung konzentrieren.

Echtzeit-Tracking und Visualisierung von Schwachstellen

Das ASM-Dashboard bietet:

  • Eine Risikozusammenfassung mit Schweregraden
  • Eine grafische Darstellung der Infrastruktur und ihrer Verbindungen
  • Eine Liste aktueller Schwachstellen (z. B. veraltete Software, offene Ports, schwache Verschlüsselung)

Probleme können direkt über die Plattform verfolgt, zugewiesen und behoben werden.

Früherkennung identitätsbasierter Bedrohungen

ASM erkennt u.a.:

  • Ungewöhnliche Login-Endpunkte oder öffentlich zugängliche Login-Portale
  • Zugangsdatenlecks im Zusammenhang mit Ihren Domains
  • Unautorisierte OAuth-Anwendungen oder verdächtige Drittanbieter-Integrationen

Dies ist besonders wichtig für Entra-ID-Umgebungen, in denen Angreifer häufig Identitätsdienste ausnutzen.

Integration mit XDR und SIEM

ASM-Ergebnisse können in XDR- oder SIEM-Lösungen eingespeist werden, um

  • Eine Korrelation mit Endpunkt- und Netzwerk-Telemetrie zu ermöglichen
  • Automatisierte Warnmeldungen und Reaktionen auszulösen
  • Eine einheitliche Sicht auf die Angriffsfläche und interne Systeme zu schaffen

Weitere Informationen und Quellen

Attackers Unleash TeamFiltration: Account Takeover Campaign (UNK …

Attackers Unleash TeamFiltration: Active Account Takeover Campaign Hits …

Password-spraying attacks target 80,000 Microsoft Entra ID accounts

TeamFiltration Abused in Entra ID Account Takeover Campaign

Microsoft 365: Hackers Abuse Pentesting Tool for Widespread Attack on …

Over 80,000 Microsoft Entra ID Accounts Targeted Using Open-Source …