Thought Leadership
Immer häufiger zweckentfremden Cyberkriminelle Werkzeuge, die ursprünglich für Sicherheitstests gedacht waren, um Unternehmen zu infiltrieren.
Eine aktuelle Analyse der Sicherheitsfirma Proofpoint legt offen, wie das populäre Test-Framework TeamFiltration derzeit massiv für Angriffe auf Cloud-Infrastrukturen missbraucht wird.
Angriffskampagne „UNK_SneakyStrike“ zielt auf Entra-ID-Konten
Seit Dezember 2024 beobachten Sicherheitsforscher eine koordinierte Angriffswelle, bei der Angreifer gezielt versuchen, sich Zugriff auf Microsoft-Entra-ID-Konten zu verschaffen. Die interne Bezeichnung dieser Kampagne: UNK_SneakyStrike. Im Zentrum steht dabei TeamFiltration – ein Tool, das eigentlich zur Überprüfung der Sicherheit in Office-365- und Azure-Umgebungen entwickelt wurde.
Mit Techniken wie Passwort-Spraying, bei dem systematisch Passwörter durchprobiert werden, und der Identifikation aktiver Nutzerkonten gehen die Angreifer dabei äußerst effektiv vor. Besonders problematisch: Die verwendeten Methoden ähneln legitimen Sicherheitstests – was die Erkennung der Angriffe zusätzlich erschwert.
Die Dimension dieser Kampagne ist alarmierend: Über 80.000 Nutzerkonten aus rund 100 Unternehmen wurden bislang ins Visier genommen. In zahlreichen Fällen kam es tatsächlich zu Account-Übernahmen. Kleine Unternehmen stehen dabei besonders im Fokus – dort versuchen die Angreifer oft, die komplette Nutzerbasis zu kompromittieren. Bei größeren Organisationen konzentrieren sie sich hingegen auf ausgewählte, meist privilegierte Konten.
Eine Besonderheit ist der gezielte Einsatz sogenannter „Sacrificial Accounts“ – Testkonten, die als Lockvögel dienen oder der Verschleierung der eigentlichen Angriffsquelle dienen. Hinzu kommt die Manipulation von OneDrive-Dateien, mit der die Spuren weiter verwischt werden.
Cloud-Infrastrukturen als Basis
Die Angriffe erfolgen größtenteils über Cloud-Dienste – insbesondere über AWS-Infrastrukturen in Regionen wie den USA, Irland und Großbritannien. Dabei wechseln die Angreifer regelmäßig zwischen verschiedenen Serverstandorten, um ihre Herkunft zu verschleiern.
Auch technische Merkmale verraten den Missbrauch: Proofpoint identifizierte unter anderem ungewöhnliche User-Agents, die mit alten Versionen von Microsoft Teams zusammenhängen – Versionen, die in legitimen Umgebungen kaum noch verwendet werden. Zudem nutzten die Täter spezifische Application IDs, die aus dem öffentlich zugänglichen Code von TeamFiltration stammen.
Angriffsmuster: Kurz, intensiv – dann Pause
Ein wiederkehrendes Muster der Angreifer: kurze, intensive Angriffswellen, gefolgt von mehrtägigen Ruhephasen. In diesen Phasen versuchen sie, in wenigen Stunden möglichst viele Konten eines Unternehmens zu kompromittieren. Diese Taktik macht es schwierig, auf klassische Muster in Logdaten zu reagieren – denn der Angriff ist oft schon vorbei, bevor Sicherheitsmaßnahmen greifen.
Proofpoint weist darauf hin, dass die Grenze zwischen legalen Sicherheitstests und echten Angriffen zunehmend verschwimmt. Die eingesetzten Tools sind oft identisch – was die Bewertung verdächtiger Aktivitäten erschwert. Besonders bei Cloud-Diensten, die von Natur aus viele externe Verbindungen erlauben, ist das Risiko hoch.
Empfehlung der Experten: Unternehmen sollten ihre Erkennungssysteme regelmäßig aktualisieren, auf verdächtige Zugriffsmuster achten und insbesondere ungewöhnliche User-Agents oder verdächtige IP-Adressen genau analysieren. Nur durch konsequente Überwachung und Reaktion lässt sich der Missbrauch solcher Werkzeuge künftig besser eingrenzen.
Was einst der Sicherheit dienen sollte, wird zur Waffe: Der Missbrauch von Tools wie TeamFiltration zeigt, wie eng Fortschritt und Risiko im Bereich der Cybersicherheit beieinanderliegen. Unternehmen stehen vor der Herausforderung, legitime Tests von realen Angriffen zu unterscheiden – und müssen ihre Verteidigung entsprechend anpassen.
