Злоумышленник, атакующий производственные среды Microsoft 365 и Azure, похищает данные с помощью атак, использующих уязвимости в легитимных приложениях и функциях администрирования.
Microsoft отслеживает этого злоумышленника как Storm-2949 и заявляет, что цель атак — «извлечь как можно больше конфиденциальных данных из ценных активов целевой организации».
Storm-2949 использовал методы социальной инженерии для атаки на пользователей с привилегированными ролями, таких как IT-персонал или члены высшего руководства, и получения их учётных данных Microsoft Entra ID для доступа к данным в приложениях Microsoft 365.
Microsoft считает, что злоумышленник злоупотребил процедурой самостоятельного сброса пароля (SSPR), в рамках которой он инициирует сброс пароля для учётной записи целевого сотрудника, а затем обманом заставляет жертву подтвердить запросы многофакторной аутентификации (MFA).
Чтобы сделать обман более убедительным, хакер выдаёт себя за сотрудника IT-поддержки, которому требуется срочная проверка учётной записи. Затем он сбрасывает пароль, отключает многофакторную аутентификацию и регистрирует Microsoft Authenticator на своем устройстве.
После взлома учётных записей Storm-2949 использует API Microsoft Graph и пользовательские скрипты Python для перечисления пользователей, ролей, приложений и субъектов служб, а также для оценки возможностей долговременного сохранения данных в каждом случае.
Затем хакер получает доступ к OneDrive и SharePoint в Microsoft 365, ища конфигурации VPN и операционные файлы IT, а также информацию об удалённом доступе, которая могла бы помочь в перемещении данных из облака в сеть конечных устройств.
«В одном случае Storm-2949 использовал веб-интерфейс OneDrive для загрузки тысяч файлов за одно действие в свою собственную инфраструктуру. Эта схема кражи данных повторялась во всех скомпрометированных учётных записях пользователей, вероятно, потому что разные аккаунты имели доступ к разным папкам и общим каталогам», — сообщает Microsoft.
Storm-2949 расширил атаку на инфраструктуру Azure жертвы, включая виртуальные машины, учётные записи хранения, хранилища ключей, службы приложений и базы данных SQL.
По данным Microsoft, злоумышленник скомпрометировал несколько аккаунтов с привилегиями управления доступом на основе ролей (RBAC) в нескольких подписках Azure. Это позволило ему «обнаружить и извлечь наиболее конфиденциальные ресурсы в среде Azure жертвы, в частности, из производственных подписок Azure». Используя привилегированные разрешения RBAC скомпрометированного пользователя, Storm-2949 смог получить учётные данные, позволяющие развёртывать FTP, Web Deploy и консоль Kudu для управления службами приложений Azure. На этом этапе он мог просматривать файловую систему, проверять переменные среды и удаленно выполнять команды в контексте приложения.
Затем в Storm-2949 переключились на Azure Key Vaults, где изменили параметры доступа и похитили десятки секретов, включая учётные данные базы данных и строки подключения. Злоумышленники также атаковали серверы Azure SQL и учётные записи хранилища, изменяя правила брандмауэра и доступа к сети, получая ключи хранилища и токены SAS, а также извлекая данные с помощью пользовательских скриптов на Python.
Функции управления виртуальными машинами Azure, такие как VMAccess и Run Command, были использованы для создания поддельных учётных записей администраторов, выполнения удалённых скриптов и кражи учётных данных.
На более поздних этапах атаки Storm-2949 развернули инструмент удалённого доступа ScreenConnect на скомпрометированных системах, попытались отключить защиту Microsoft Defender и уничтожить улики.
Следует отметить, что Microsoft использует Storm в качестве временного обозначения для угроз, которые еще не классифицированы, поскольку они являются новыми, развивающимися или находящимися в стадии разработки.
Для защиты от атак Storm-2949 компания рекомендует усилить безопасность и следовать передовым методам, включая принцип минимальных привилегий, включение политик условного доступа, добавление многофакторной аутентификации (MFA) для всех пользователей и обеспечение фишинг-устойчивой MFA для пользователей с привилегированными ролями, такими как администраторы. Для защиты облачных ресурсов компания советует ограничить разрешения Azure RBAC, хранить журналы Azure Key Vault до года, ограничить доступ к Key Vault, публичный доступ к Key Vault, использовать параметры защиты данных в Azure Storage и отслеживать операции управления Azure с высоким риском.
В ноябре 2025 года Microsoft сообщила, что платформа Azure подверглась DDoS-атаке со стороны ботнета Aisuru. Её мощность достигала 15,72 терабит в секунду, а атаку запускали с более чем 500 тысяч IP-адресов.
ссылка на оригинал статьи https://habr.com/ru/articles/1037352/