Missbrauch des Pentesting Toosl TeamFiltration
Hacker übernehmen Entra-ID-Konten

23.06.2025

Quelle: Pressemitteilung

3 min Lesedauer

Anbieter zum Thema

Mehr als 80.000 Entra-ID-Nutzerkonten sind bereits ins Visier einer groß­angelegten Angriffskampagne geraten. Dabei missbrauchen Cyberkriminelle das Pentesting Tool TeamFiltration, tarnen ihre Aktivitäten als legitimen Sicherheitstest und kompromittieren gezielt Microsoft-Cloud-Konten.

Mehr als 100 Unternehmen seien Proofpoint zufolge bereits von der Angriffswelle betroffen, bei der Cyberkriminelle Pentests faken, indem sie das Tool TeamFiltration missbrauchen. So sei es bereits zu mehreren Account-Übernahmen.(Bild: Dall-E / KI-generiert) Mehr als 100 Unternehmen seien Proofpoint zufolge bereits von der Angriffswelle betroffen, bei der Cyberkriminelle Pentests faken, indem sie das Tool TeamFiltration missbrauchen. So sei es bereits zu mehreren Account-Übernahmen.

(Bild: Dall-E / KI-generiert)

Bereits seit Dezember 2024 wird den Analysten von Proofpoint zufolge das Pentesting-Framework „TeamFiltration“ von Cyberkriminellen missbraucht. Im Rahmen einer aktiven Angriffskampagne würden die Akteure auf ausgefeilte Methoden setzen, wie systematisches Passwort-Spraying, um Microsoft-Entra-ID-Konten zu übernehmen. Dabei würden sie sich gezielt Schwachstellen in Cloud-Umgebungen zunutze machen. Seit der ersten Entdeckung durch Proofpoint seien über 80.000 Benutzerkonten in rund 100 Organisationen von diesem Angriff betroffen, was bereits zu mehreren erfolgreichen Account-Takeovern geführt habe.

Durch die Schwachstelle CVE-2024-43477 können Angreifer remote ohne vorherige Privilegien eine Eskalation von Rechten in Entra ID/Azure AD erreichen. (Bild: Dall-E / KI-generiert) So nutzen Cyberkriminelle TeamFiltration aus

Das Open Source Tool TeamFiltration wurde ursprünglich konzipiert, um IT-Mitarbeitenden bei der Erkennung und Behebung von Sicherheitslücken in Office-365- und Azure-Umgebungen zu unterstützen. Durch die Manipulation seien die Angreifer nun in der Lage, das Tool für folgende Aktivitäten nutzen:

  • Identifizierung gültiger Benutzerkonten in einer Zielumgebung
  • Passwort-Spraying, um mithilfe gängiger oder systematisch variierter Passwörter Nutzerkonten zu kompromittieren
  • Extrahierung von Informationen wie E-Mails, Dateien und anderen wertvollen Daten
  • „Backdooring“ über OneDrive, einen dauerhaften Zugriff zu erhalten und potenzielle laterale Bewegung zu ermöglichen. Dafür würden die Akteure schädliche Dateien auf das OneDrive des Ziels hochladen und vorhandene Dateien, zum Beispiel auf dem Desktop, durch ähnliche Dateien ersetzen. Diese Dateien würden Malware oder makrobasierte Payloads enthalten, um den Fremdzugriff wiederherzustellen oder Ziele weiter zu kompromittieren.

Der Remote Access Trojaner BingoMod kann Android-Smartphones infizieren, auf Bankkonten zugreifen und Überweisungen tätigen. (Bild: Dall-E / KI-generiert)

Dafür, dass TeamFiltration für eine große Kampagne genutzt werden könnte, um Cloud-Identitäten zu kompromittieren, fanden die Cybersicherheitsanalysten unter anderem folgende Hinweise, als sie den Quellcode auf technische Auffälligkeiten untersuchten:

  • Ein veralteter User-Agent-String, der in produktiven Unternehmensumgebungen kaum noch zu beobachten ist, wies auf eine ältere Version von Microsoft Teams hin. Das wiederholte Auftreten des Strings in Verbindung mit verdächtigen Aktivitäten lieferte einen ersten starken Hinweis auf missbräuchlichen den Einsatz von TeamFiltration.
  • Darüber hinaus fiel den Forschern eine Reihe ungewöhnlicher Anmeldeversuche auf, bei denen sich Systeme über Geräte authentifizieren wollten, die nicht zu den jeweiligen Microsoft-Anwendungen passten. Dieses Verhalten deutet auf ein gezieltes User-Agent-Spoofing hin – eine Technik, mit der Angreifer versuchen, ihre tatsächliche Infrastruktur zu verschleiern.
  • Ein weiterer Hinweis ergab sich aus dem Vergleich der bei den Angriffen genutzten Microsoft-Anwendungskennungen (Client-IDs) mit dem öffentlich einsehbaren Quellcode von TeamFiltration. Die auffällige Client-ID-Konfiguration lieferte den klaren technischen Fingerabdruck, der TeamFiltration als eingesetztes Angriffswerkzeug entlarvte.

Mit Microsoft Entra ID Protection lassen sich Benutzerkonten in Azure AD/Entra ID vor Phishishing-Angriffen, unberechtigten Zugriffen und anderen Risiken schützen. (Bild: Blue Planet Studio - stock.adobe.com)

Außerdem konnten die Proofpoint-Analysten feststellen, dass die Angreifer über AWS-Infrastrukturen aus verschiedenen Regionen operieren und mithilfe sogenannter „Sacrificial Accounts” sowie gezielter Manipulationen an OneDrive-Dateien ihre Spuren geschickt verwischen würden. Bei den Sacrificial Accounts handle es sich um entbehrliche Nutzerkonten, das zum einen strategisch angelegt worden sei, um damit Pentests mit TeamFiltration durchzuführen. Und zu anderen, um damit herauszufinden, welche möglichen Zielkonten bereits existieren. Dabei gelinge es den Akteuren, nicht nur einzelne Nutzerkonten zu kompromittieren, sondern in kurzer Zeit ganze Organisationen ins Visier zu nehmen. Die Angriffe würden in intensiven Wellen erfolgen, gefolgt von mehreren Tagen Ruhe. Während dieser Angriffspshase würden die Angreifer innerhalb weniger Stunde zahlreichen Konten eines Unternehmens ins Visier nehmen. Die Analyse der Quell-IP-Adressen habe ergeben, dass der Großteil der Attacken aus den USA, Irland und Großbritannien stamme. Somit würden sich Rückschlüsse auf die Infrastruktur und die Internationalität der Angreifer ziehen lassen.

Beim Malvertising nutzen Cyberkriminelle die digitale Infrastruktur von Anbietern für Online-Werbeflächen, um bei Nutzern Malware zu platzieren. Dieser Technik bedient sich derzei auch die Hackergruppe UNC6032. (Bild: Check Point) Schutzmaßnahmen vor gefakten Pentests

Eine Liste mit Indicators of Compromise (IoCs), die Proofpoint nach der Analyse veröffentlicht hat, enthält verdächtige IP-Adressen, einen auffälligen User-Agent-String sowie Hinweise auf spezifische Client-IDs, mit denen sich Anmeldeversuche bestimmten Angriffsmustern zu­ord­nen lassen können sollen. Mithilfe der IoCs können Unternehmen ihre SIEM-, EDR– und Firewall-Systeme verbessern, um verdächtige Zugriffe frühzeitig zu erkennen und ein­zu­däm­men. Darüber hinaus empfiehlt der Hersteller, die Threat Detection mit Verhaltens­analysen und kontextbezogener Threat Intelligence zu kombinieren. Dies helfe dabei, legitime Pentests von echten Angriffen zu unterscheiden.

Erfolgreiche Cybersicherheitsstrategien erfordern ein sorgfältiges Zusammenspiel von Echtzeitgeschwindigkeit und der Fähigkeit, historische Daten auch über lange Zeitachsen hinweg zu analysieren. (Bild: Lila Patel - stock.adobe.com)

(ID:50453890)

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.