電子郵件安全領導品牌 Proofpoint 近日警告，有一起惡意活動 UNK_SneakyStrike，自去年 12 月開始利用紅隊演練工具 TeamFiltration，針對微軟雲端身分驗證服務 Entra ID 發動密碼潑灑攻擊，影響了數百個組織的逾 8 萬個使用者帳戶，並有多起成功接管帳戶的案例。

根據 Proofpoint 的分析，駭客所使用的工具是一名威脅研究人員於 2021 年所打造的 TeamFiltration，該工具具備帳戶列舉（Account Enumeration）、密碼潑灑（Password Spraying）、資料洩漏（Data Exfiltration），以及透過 OneDrive 植入後門（Backdooring）等能力，原本是要用來進行滲透測試及風險評估，模擬對 Microsoft Azure 用戶的攻擊，卻直接被駭客利用於惡意活動。

TeamFiltration 執行流程（ 資料來源：GitHub ）

例如駭客先透過公開資料與 Microsoft Teams API 測試帳戶的存在與否，再嘗試以少量卻常見的密碼來登入大量帳戶（密碼潑灑攻擊），成功登入後便可匯出 Outlook 郵件、下載 OneDrive，或是存取 Teams 的聊天紀錄、通訊錄或行事曆等；再上傳嵌有惡意巨集的 Word/Excel 文件到 OneDrive 上來維持存取權限。

駭客透過 AWS 雲端伺服器從不同的地理區域輪番發動攻擊，主要為美國（42%）、愛爾蘭（11%）及英國（8%），以增加追蹤難度。

UNK_SneakyStrike 攻擊行動始於 2024 年 12 月，在 2025 年 1 月達到高峰，當時 1 天內有 16,500 個帳戶遭到攻擊。

2024 年 7 月至 2025 年 3 月，UNK_SneakyStrike 利用 TeamFiltration 發動未授權存取嘗試的頻率變化趨勢。

有許多紅隊演練工具經常被駭客用來執行惡意活動，除了 TeamFiltration 之外，還有威脅模擬工具 Cobalt Strike 被用來部署後門，或是滲透測試框架 Metasploit Framework 被用來攻擊未修補的安全漏洞。

而對 Proofpoint 研究人員而言，最大的難題之一是區分 TeamFiltration 的合法及攻擊流量，他們發現，相較於紅隊演練具備明確範圍與目標，惡意活動多半呈現大規模、無差別的攻擊模式。

結論

像 TeamFiltration 這類工具本是為資安從業人員進行滲透測試與強化防禦機制而設計，但也容易被攻擊者轉作攻擊工具，用來入侵帳號、竊取機敏資料，甚至建立長期存取權限（Persistent Foothold）。

Proofpoint 預期，隨著傳統攻擊手法的效益下降，攻擊者將越來越傾向使用像 TeamFiltration 這種進階的紅隊演練工具與平台，提升其滲透成功率與隱蔽性。

參考來源：iThome、Proofpoint