安全公司Proofpoint披露了一起名为UNK_SneakyStrike的黑客攻击行动，该行动针对微软Entra ID用户进行密码喷洒攻击，自2023年12月以来已影响超过8万个用户账号，并导致部分账号被成功入侵。黑客使用名为TeamFiltration的工具，该工具最初用于红队渗透测试，现被用于账户枚举、密码喷洒、数据抓取和植入后门等恶意行为。攻击者通过社工库和Microsoft Teams API获取账号，利用常见密码库进行暴力破解，一旦成功登录，即可窃取用户Outlook邮件、OneDrive文件、Teams聊天记录等敏感信息，并植入恶意文件，实现持久控制。

🔑 UNK_SneakyStrike 攻击行动针对微软 Entra ID 用户，自 2023 年 12 月以来已影响超过 8 万个用户账号，部分账号已被成功入侵。

🛠️ 黑客使用的工具名为 TeamFiltration，该工具最初由安全研究员开发，用于模拟对 Microsoft Azure 用户的攻击行为，现被黑客用于真实攻击。

🔓 黑客利用社工库及 Microsoft Teams API 获取一批 Entra ID 账号，随后使用 TeamFiltration 进行密码喷洒攻击，尝试暴力破解用户密码。

📤 成功登录后，黑客可导出用户的 Outlook 邮件、下载 OneDrive 文件、访问 Teams 聊天记录等信息，并上传嵌入恶意宏的 Word 或 Excel 文件至 OneDrive，从而实现持久控制。

💡 安全公司建议用户积极修改账号密码，并使用高强度密码以增强账户安全，防范“密码喷洒”式暴力入侵。

IT之家 6 月 14 日消息，安全公司 Proofpoint 发文，透露有黑客发起一项名为 UNK_SneakyStrike 的攻击行动，持续针对微软 Entra ID 发动“密码喷洒”攻击（Password Spraying），自 2023 年 12 月起，相应攻击行动已影响超过 8 万个用户账号，且已有多个账号已被成功入侵。

根据 Proofpoint 的分析，黑客所使用的工具名为 TeamFiltration，是一位安全研究员于 2021 年开发的工具，原本用于红队渗透测试和风险评估，模拟对 Microsoft Azure 用户的攻击行为。然而，该工具却被黑客直接用于真实攻击行动，并通过魔改实现了账户枚举、密码喷洒、数据抓取、以及通过 OneDrive 植入后门等功能。

IT之家参考相应报告获悉，黑客首先利用社工库及 Microsoft Teams 的 API 获取一批 Entra ID 账号，随后利用 TeamFiltration，使用常见密码库对相应账号进行暴力登录测试（即“Password Spraying 密码喷洒”攻击），一旦成功登录，就可导出用户的 Outlook 邮件、下载 OneDrive 文件，访问 Teams 聊天记录、联系人和日历等信息，并上传嵌入恶意宏的 Word 或 Excel 文件至 OneDrive，从而让黑客能够持久控制相应账号。

对此，安全公司表示，用户应当积极修改自己的账号密码，并使用高强度密码以避免遭到相应“密码喷洒”式暴力入侵。