Feltört fiók – kihasznált felhő
A Microsoft Threat Intelligence elemzés szerint a Storm-2949 nevű fenyegető szereplő egyetlen kompromittált identitásból kiindulva teljes cloudszintű kompromittálást hajtott végre Microsoft 365 és Azure környezetekben. A támadás különösen figyelemre méltó, mert a támadók szinte egyáltalán nem használtak klasszikus malware-t vagy exploitokat, hanem legitim Microsoft cloud menedzsmentfunkciókkal és adminisztratív képességekkel éltek vissza.
A művelet pszichológiai megtévesztéssel indult, a támadók a Microsoft Self-Service Password Reset (SSPR) folyamatát használták ki. IT-támogatásnak adták ki magukat, majd rábeszélték az áldozatokat – köztük IT-adminisztrátorokat és vezetőket –, hogy hagyják jóvá a hamis MFA-kéréseket. Ezzel átvették az Entra ID accountok felett az irányítást, lecserélték a hitelesítési módszereket, és saját MFA-eszközeiket regisztrálták.
A kompromittált identitásokkal a támadók tömeges adatlopást hajtottak végre OneDrive- és SharePoint-környezetekből, különösen VPN-konfigurációkat és távoli hozzáférési dokumentációkat keresve. Ezután Azure irányba pivotáltak, ahol a megszerzett RBAC-jogosultságokat kihasználva App Service-eket, Key Vaultokat, Storage accountokat és SQL-rendszereket támadtak. A Microsoft szerint a támadók több esetben a publishxml funkcióval szerezték meg webalkalmazások deployment credentialjeit, majd a Kudu menedzsmentfelületen keresztül futtattak parancsokat.
A Storm-2949 később Azure Key Vaultokból titkokat és connection stringeket lopott, módosította a Storage- és SQL-tűzfalszabályokat, valamint VMAccess és Run Command funkciókkal távoli kódfuttatást hajtott végre virtuális gépeken. A támadók végül ScreenConnect RMM-eszközt telepítettek, Defender-védelmeket próbáltak kikapcsolni és forenzikai nyomokat töröltek.
A Microsoft szerint a modern cloudtámadások központi eleme már nem a malware, hanem az identitás és a control plane kompromittálása. Ha a támadók privilegizált cloud identitást szereznek, legitim adminisztrációs funkciókkal gyakorlatilag teljes infrastruktúrák felett vehetik át az irányítást úgy, hogy aktivitásuk normál rendszergazdai műveletnek tűnik. A vállalat ezért phishing-rezisztens MFA-t, minimális jogosultsági modellt, RBAC-auditot és a cloud control plane folyamatos monitorozását javasolja.
