Entre los expertos en seguridad se desarrollan y comparten continuamente herramientas que simulan intrusiones en entornos cloud, como TeamFiltration, que ha ganado mucha popularidad ofreciendo un marco robusto para la apropiación de cuentas de Office 365 Azure Active Directory, la exfiltración de datos y el acceso persistente. Proofpoint , empresa de ciberseguridad y cumplimiento normativo, se ha centrado en una de sus investigaciones en sus capacidades como herramienta de uso legítima, pero también utilizada en actividades maliciosas por parte de ciberdelincuentes.

Creada por un investigador de amenazas en enero de 2021 y presentada públicamente en DefCon30, TeamFiltration ayuda a automatizar varias tácticas, técnicas y procedimientos en cadenas de ataque de toma de control de cuentas. Identifica cuentas de usuarios válidas dentro de un entorno objetivo, puede comprometer cuentas con contraseñas comunes o probadas de forma sistemática, extrae información, permite el acceso persistente y el posible movimiento lateral mediante la carga de archivos maliciosos en el OneDrive del objetivo, así como la sustitución de los archivos existentes por otros similares, pero maliciosos.

Para identificar las actividades asociadas a TeamFiltration, los investigadores de amenazas de Proofpoint analizan su documentación pública disponible en GitHub y su archivo de configuración predeterminado. Esto permitió encontrar un agente de usuario distintivo, vinculado a una versión obsoleta de Microsoft Teams. Dado que este agente de usuario rara vez se observa en entornos reales, los investigadores plantearon la hipótesis de que su aparición en entornos legítimos, coincidiendo con actividades maliciosas, podría servir como indicador inicial de que TeamFiltration se estaba utilizando de forma ilegítima.

Asimismo, Proofpoint identificó otro indicador único de la actividad de TeamFiltration: el intento de acceder a una aplicación de inicio de sesión desde dispositivos incompatibles con dicha aplicación. Este comportamiento indica una suplantación del agente de usuario y tiene como objetivo ocultar el cliente o dispositivo desde el que se originó la intrusión.

Al analizar una aplicación de inicio de sesión afectada, se observó que había una clara compensación entre los intentos de apropiación de cuentas y una lista distinta de ID de aplicaciones, preconfigurada en la lógica de TeamFiltration, según su documentación de código público. Esta elección de aplicaciones cliente pertenece a un grupo de OAuth de Microsoft que pueden obtener tokens de actualización de Azure Active Directory, intercambiables por tokens de portador válidos que pueden aprovecharse para explotar el acceso.

De forma predeterminada, TeamFiltration requiere una cuenta de Amazon Web Services (AWS) para iniciar una simulación de intrusión. Además, la herramienta necesita una cuenta de usuario de Office 365 con una licencia válida de Microsoft 365 Business Basic. Es un activo desechable dedicado que se utiliza para habilitar acciones potencialmente detectables. La función de enumeración de TeamFiltration aprovecha una cuenta desechable y la API de Microsoft Teams para verificar la existencia de cuentas de usuario dentro de un entorno específico de Microsoft Entra ID antes de lanzar intentos de pulverización de contraseñas. Una actualización reciente del código de la herramienta introdujo un método de enumeración basado en OneDrive, lo que mejoró sus capacidades de enumeración.

En consonancia con estos requisitos, los intentos de ataque atribuidos a TeamFiltration también se han basado en la infraestructura de AWS, que opera en varias regiones. Estos intentos rotan sistemáticamente, lo que garantiza que cada oleada de pulverización de contraseñas se origine en un servidor diferente en una nueva ubicación geográfica.

Entre los principales retos a los que se enfrentaron los investigadores de Proofpoint estaba distinguir entre las intrusiones simuladas y legítimas realizadas con TeamFiltration y las actividades maliciosas reales con la misma herramienta. Para ello, los investigadores analizaron la distribución de los intentos de ataque en Múltiples inquilinos dentro de un plazo definido. A diferencia de las evaluaciones de seguridad controladas, la actividad de los ciberdelincuentes seguía un patrón de ataque más amplio e indiscriminado.

“Aunque las herramientas como TeamFiltration están diseñadas para ayudar a los profesionales de la ciberseguridad a probar y mejorar las soluciones de defensa, los ciberdelincuentes pueden usarlas fácilmente como arma para comprometer cuentas de los usuarios, extraer datos confidenciales y establecer puntos de apoyo persistentes” , apuntan los investigadores de amenazas de Proofpoint. “Cada vez más ciberdelincuentes adoptarán plataformas de intrusión avanzadas, como TeamFiltration, a medida que abandonan métodos menos eficaces” .