Angriff aus dem Werkzeugkasten der Guten : Über 80.000 Microsoft-Entra-ID-Konten im Visier von Open-Source-Tool
Ein Penetration-Testing-Tool wird zur Waffe: Wie Cyberkriminelle mit TeamFiltration weltweit Cloud-Identitäten kompromittieren – und warum das IT-Security-Fachleute alarmieren sollte.
Ein bislang unterschätztes Open-Source-Tool sorgt derzeit für Aufsehen in der Cybersicherheitswelt: Mit TeamFiltration, eigentlich für legale Sicherheitstests entwickelt, führen Angreifer derzeit eine großangelegte Übernahme von Benutzerkonten in Microsofts Cloud-Identitätsdienst Entra ID durch. Mehr als 80.000 Benutzerkonten aus mehreren hundert Cloud-Tenants weltweit sind seit Ende 2024 Ziel dieser Attacken. Die dabei eingesetzte Methodik ist technisch raffiniert, das Ausmaß besorgniserregend – und der Missbrauch eines ursprünglich legitimen Frameworks stellt die IT-Sicherheits-Community vor neue Herausforderungen.
TeamFiltration: Vom Red-Teaming-Tool zur Angriffsplattform
TeamFiltration wurde im August 2022 auf der DEF CON vom Sicherheitsanalysten Melvin „Flangvik“ Langvik als Open-Source-Projekt vorgestellt. Ursprünglich gedacht als Plattform für Penetrationstests, vereint das Tool Funktionen zur Benutzerlistung, Passwortsprühattacken, Datenexfiltration und zum Aufbau persistenter Zugriffspunkte. Es richtet sich explizit an Entra-ID-Umgebungen (vormals Azure Active Directory) und bietet Schnittstellen zu Microsoft-Anwendungen wie Teams, OneDrive oder Outlook.
Inzwischen nutzen jedoch auch Angreifer die vielseitigen Funktionen der Software – mit gravierenden Folgen. Die nun unter dem Codenamen UNK_SneakyStrike dokumentierte Kampagne zeigt, wie gezielt und skalierbar solche Tools für kompromittierende Angriffe eingesetzt werden können.
Automatisiert, verteilt, effizient: Die Angriffstaktik von UNK_SneakyStrike
Die von der Sicherheitsfirma Proofpoint analysierten Aktivitäten zeigen ein klares Angriffsmuster: Mittels TeamFiltration führen die Täter umfangreiche Benutzeraufzählungen und Passwortsprühversuche durch – automatisiert, verteilt über Server aus verschiedenen geografischen Regionen und mit hoher Frequenz. Auffällig ist dabei, dass für jede Angriffswelle andere Amazon-Web-Services-Instanzen genutzt werden, sodass jeder Versuch aus einer neuen IP-Adresse stammt. Dadurch wird eine Erkennung und Blockierung durch klassische Sicherheitsmaßnahmen deutlich erschwert.
Drei Regionen stechen durch besonders hohe Aktivität hervor:
- Vereinigte Staaten: 42 Prozent der Angriffe
- Irland: 11 Prozent
- Großbritannien: 8 Prozent
Ein Sprecher von AWS erklärte, dass Kunden verpflichtet seien, die Nutzungsbedingungen einzuhalten, und dass das Unternehmen Maßnahmen ergreife, um verbotene Inhalte zu blockieren.
„Unsere Bedingungen schreiben vor, dass Kunden AWS nur im Einklang mit geltendem Recht nutzen dürfen“, so der Sprecher. „Wenn wir Hinweise auf einen möglichen Verstoß erhalten, prüfen wir den Fall sofort und entfernen gegebenenfalls verbotene Inhalte. Wir arbeiten eng mit der Sicherheitsforschung zusammen und rufen dazu auf, Missbrauch über unser spezielles Meldeportal bei AWS Trust & Safety zu melden.“
Proofpoint beschreibt die Kampagne als „großflächige, hochkonzentrierte Wellen“ von Zugriffversuchen, oft gefolgt von mehrtägigen Ruhephasen. Die Angreifer scheinen dabei systematisch vorzugehen: In kleineren Tenants wird versucht, sämtliche Konten zu kompromittieren; in größeren Umgebungen werden nur selektiv Benutzer mit hoher strategischer Relevanz angegriffen.
Missbrauch mit System: Wenn Angriffs- und Verteidigungstechnologien verschwimmen
Die Kampagne UNK_SneakyStrike macht deutlich, wie fließend die Grenze zwischen defensiver Sicherheitsforschung und offensiver Cyberkriminalität sein kann. Werkzeuge, die eigentlich für ethische Sicherheitstests entwickelt wurden, geraten zunehmend ins Visier von Bedrohungsakteuren. Die Nutzung von Open-Source-Frameworks wie TeamFiltration ermöglicht es Angreifern, schnell und flexibel auf verteilte Infrastruktur zurückzugreifen – ohne eigene Tools entwickeln zu müssen.
Die Angriffe erfolgen dabei nicht mit hochspezialisierten Zero-Day-Exploits, sondern nutzen einfache, aber effektive Mittel: schwache oder wiederverwendete Passwörter, schlecht gesicherte Cloud-Zugänge und mangelnde Erkennung von Anomalien im Nutzerverhalten.
Angesichts der beschriebenen Vorfälle sind Unternehmen und Organisationen gut beraten, ihre Sicherheitsstrategien zu überdenken – insbesondere im Hinblick auf den Schutz von Cloud-Identitäten. Folgende Maßnahmen sollten dringend geprüft oder verstärkt werden:
- Multi-Faktor-Authentifizierung für alle Benutzer, insbesondere für privilegierte Konten
- Anomalieerkennung im Anmeldeverhalten (zum Beispiel geografisch ungewöhnliche Login-Versuche)
- Härtung der Cloud-Tenant-Konfiguration, insbesondere Zugriffsbeschränkungen auf APIs wie Microsoft Teams oder OneDrive
- Monitoring von Open-Source-Tools im eigenen Netzwerkverkehr, um missbräuchliche Nutzung zu erkennen
- Awareness-Trainings für Mitarbeiter, um Phishing und andere Einstiegsmethoden frühzeitig zu erkennen
Eine neue Realität für die Open-Source-Sicherheitskultur
TeamFiltration steht exemplarisch für ein wachsendes Dilemma in der IT-Sicherheitslandschaft: Die Werkzeuge der Verteidiger sind auch die Waffen der Angreifer. Der offene Zugang zu leistungsstarken Frameworks erleichtert Forschung und Ausbildung – öffnet jedoch zugleich Missbrauch Tür und Tor. Der Fall UNK_SneakyStrike sollte daher nicht nur als Warnung verstanden werden, sondern als Aufruf zu einem verantwortungsvollen Umgang mit Sicherheitstechnologien, zu klaren Governance-Strukturen und zu mehr Resilienz im Umgang mit der Schattenseite der Open-Source-Community.