Злоумышленники стартовали применять опцию автосброса паролей для кражи данных в Azure

Злоумышленник, атакующий производственные среды Microsoft 365 и Azure, похищает данные с помощью атак, использующих уязвимости в легитимных приложениях и функциях администрирования.

Microsoft отслеживает этого злоумышленника как Storm-2949 и заявляет, что цель атак — «извлечь как можно больше конфиденциальных данных из ценных активов целевой организации».

Storm-2949 использовал методы социальной инженерии для атаки на пользователей с привилегированными ролями, таких как IT-персонал или члены высшего руководства, и получения их учётных данных Microsoft Entra ID для доступа к данным в приложениях Microsoft 365.

Microsoft считает, что злоумышленник злоупотребил процедурой самостоятельного сброса пароля (SSPR), в рамках которой он инициирует сброс пароля для учётной записи целевого сотрудника, а затем обманом заставляет жертву подтвердить запросы многофакторной аутентификации (MFA).

Чтобы сделать обман более убедительным, хакер выдаёт себя за сотрудника IT-поддержки, которому требуется срочная проверка учётной записи. Затем он сбрасывает пароль, отключает многофакторную аутентификацию и регистрирует Microsoft Authenticator на своем устройстве.

После взлома учётных записей Storm-2949 использует api Microsoft Graph и пользовательские скрипты Python для перечисления пользователей, ролей, приложений и субъектов служб, а также для оценки возможностей долговременного сохранения данных в каждом случае.

Затем хакер получает доступ к OneDrive и SharePoint в Microsoft 365, ища конфигурации VPN и операционные файлы IT, а также информацию об удалённом доступе, которая могла бы помочь в перемещении данных из облака в сеть конечных устройств.

«В одном случае Storm-2949 использовал веб-интерфейс OneDrive для загрузки тысяч файлов за одно действие в свою собственную инфраструктуру. Эта схема кражи данных повторялась во всех скомпрометированных учётных записях пользователей, вероятно, потому что разные аккаунты имели доступ к разным папкам и общим каталогам», — сообщает Microsoft.

Storm-2949 увеличил атаку на инфраструктуру Azure жертвы, в том числе виртуальные машины, учётные записи хранения, хранилища ключей, службы приложений и базы данных SQL.

По данным Microsoft, злоумышленник скомпрометировал некоторое количество аккаунтов с привилегиями управления доступом на основе ролей (RBAC) в нескольких подписках Azure. Это позволило ему «обнаружить и извлечь наиболее конфиденциальные ресурсы в среде Azure жертвы, в частности, из производственных подписок Azure». Используя привилегированные разрешения RBAC скомпрометированного пользователя, Storm-2949 смог получить учётные данные, позволяющие развёртывать FTP, Web Deploy и консоль Kudu для управления службами приложений Azure. На этом этапе он мог смотреть файловую систему, проверять переменные среды и удаленно выполнять команды в контексте приложения.

Затем в Storm-2949 переключились на Azure Key Vaults, где изменили параметры доступа и похитили десятки секретов, в том числе учётные информация базы данных и строки подключения. Злоумышленники также атаковали серверы Azure SQL и учётные записи хранилища, изменяя правила брандмауэра и доступа к сети, получая ключи хранилища и токены SAS, а равным образом извлекая данные с помощью пользовательских скриптов на Python.

Функции управления виртуальными машинами Azure, такие как VMAccess и Run Command, были использованы для создания поддельных учётных записей администраторов, выполнения удалённых скриптов и кражи учётных данных.

На более поздних этапах атаки Storm-2949 развернули средство удалённого доступа ScreenConnect на скомпрометированных системах, попытались отключить защиту Microsoft Defender и уничтожить улики. 

Следует отметить, что Microsoft использует Storm в качестве временного обозначения для угроз, которые еще не классифицированы, поскольку они являются новыми, развивающимися или находящимися в стадии разработки.

Для защиты от атак Storm-2949 организация рекомендует усилить защита и следовать передовым методам, в том числе принцип минимальных привилегий, включение политик условного доступа, добавление многофакторной аутентификации (MFA) для всех пользователей и обеспечение фишинг-устойчивой MFA для пользователей с привилегированными ролями, такими как администраторы. Для защиты облачных ресурсов организация советует ограничить разрешения Azure RBAC, хранить журналы Azure Key Vault до года, ограничить доступ к Key Vault, публичный доступ к Key Vault, применять параметры защиты данных в Azure Storage и отслеживать операции управления Azure с высоким риском.

В ноябре 2025 года Microsoft сообщила, что система Azure подверглась DDoS-атаке со стороны ботнета Aisuru. Её мощность достигала 15,72 терабит в секунду, а атаку запускали с более чем 500 тысяч IP-адресов.