ハッカーがMicrosoft Entra IDアカウントを悪用してMicrosoft 365およびAzureデータを流出させています。
Storm-2949として追跡される脅威アクターによって実行された高度に洗練されたサイバー攻撃キャンペーンが、Microsoft Entra IDアカウントを標的にしてMicrosoft 365およびAzure環境から機密データを盗もうとしています。
マルウェアペイロードを配置する代わりに、Storm-2949は正当なクラウド管理機能を悪用してSaaS、PaaS、およびIaaS環境全体への深いアクセスを獲得しました。
攻撃はIT職員と上級管理者を含む高価値ユーザーを狙った標的型のソーシャルエンジニアリングで始まりました。脅威アクターはマイクロソフトのセルフサービスパスワードリセット(SSPR)プロセスを悪用し、ユーザーを多要素認証(MFA)リクエストの承認に騙しました。
これらのシナリオでは、攻撃者はIT サポート要員になりすまし、アカウント確認を装ってMFAプロンプトの承認を被害者に強要しました。
マイクロソフトによると、この攻撃はクラウド中心の侵害における増加傾向を示しており、攻撃者は従来のマルウェアベースの技術よりも身元情報の侵害を優先しています。
承認されると、攻撃者はパスワードをリセットし、既存の認証方法を削除し、自分のMFAデバイスを登録して、正当なユーザーを効果的にロックアウトしながら永続的なアクセスを維持しました。
ハッカーがEntra IDを悪用
アクセスを獲得した後、Storm-2949はOneDriveやSharePointを含むMicrosoft 365サービスからデータを迅速に流出させ始めました。
攻撃者はVPN設定やリモートアクセス手順などの機密文書を特に標的にしており、さらなるラテラルムーブメントの準備を示しています。
場合によっては、OneDriveのWebインターフェイスを使用して数千のファイルが一括ダウンロードされました。攻撃者は複数の侵害されたアカウント全体でこのプロセスを繰り返してデータ収集を最大化しました。
特権Entra IDアカウントへのアクセスにより、脅威アクターはAzure環境に拡張しました。ロールベースのアクセス制御(RBAC)権限を活用して、次のような重要なリソースを標的にしました:
- Azure App Services。
- Azure Key Vaults。
- Azure Storage accounts。
- Azure SQLデータベース。
重要な戦術は、Azureの管理プレーン操作を悪用してWebアプリの公開プロファイルを取得することです。これにより、展開認証情報やKuduなどの管理インターフェースへのアクセスが可能になりました。
プライマリ本番アプリケーションへのアクセスの初期試行は失敗しましたが、攻撃者は戦略的にピボットしました。
Storm-2949はAzure Key Vaultに焦点をシフトさせ、そこで所有者レベルの権限を持っていました。数分以内に、アクセスポリシーを変更し、認証情報と接続文字列を含む数十のシークレットを抽出しました。
これらのシークレットにより高価値の本番アプリケーションへのアクセスが可能になり、その後攻撃者はコントロールを維持するために認証情報を変更し、機密データの抽出を開始しました。
Azure Instance Metadata Service(IMDS)を使用して、本番Webアプリケーション関連のKey Vaultに認証してシークレットを取得します。
攻撃者は大規模なデータ流出を容易にするためにAzure設定を操作しました:
- データベースアクセスを取得するためにSQLファイアウォールルールを変更
- ストレージアカウントへのパブリックアクセスを有効化
- ストレージアカウントキーとSASトークンを取得
- Azure SDKを使用したカスタムPythonスクリプトを使用してデータをダウンロード
注目すべきことに、検出を回避するためにその後ファイアウォールの変更をクリーンアップしました。
Storm-2949はまた、組み込みの管理ツールを使用してAzure Virtual Machinesを標的にしました。VMAccess拡張機能を悪用して、新しい管理者アカウントを作成し、Run Commandを使用してスクリプトをリモートで実行しました。
彼らは認証情報の収集を試み、永続的なアクセスのためにScreenConnectというリモート監視ツールを展開しました。攻撃者はまた、Microsoft Defenderの保護をオフにし、可視性を減らすためにログをクリアしようとしました。
検出と防御
Microsoft Defenderは、身元情報、クラウド、エンドポイント環境全体のシグナルを関連付けることで、攻撃を特定する上で重要な役割を果たしました。これは、最新のクラウドセキュリティにおいて統合検出システムの重要性を強調しています。
このキャンペーンは、クラウド環境における身元情報主導型攻撃への転換を強調しています。正当な管理ツールを悪用することで、攻撃者は侵害の指標を最小限にしてこっそり操作することができます。
組織は以下のことが推奨されます:
- MFAプロセスを強化し、疑わしい承認を監視する。
- 最小権限の原則を使用してRBAC権限を制限する。
- 異常なクエリについてMicrosoft Graph APIアクティビティを監視する。
- Key Vaultアクセスをセキュアにしてシークレット使用を監査する。
- Microsoft Defender XDRなどのソリューションを使用してクロスドメイン検出を有効にする。
クラウドの採用が加速するにつれて、身元情報とコントロールプレーンアクセスを保護することが大規模なデータ漏洩を防ぐために重要になっています。
侵害の指標(IOCs)
| インジケーター | タイプ | 説明 |
| 176.123.4[.]44 | IPアドレス | このアドレスから攻撃者が脱出 |
| 91.208.197[.]87 | IPアドレス | このアドレスから攻撃者が脱出 |
| 185.241.208[.]243 | IPアドレス | 攻撃者が使用したScreenConnectインスタンス |
注: IPアドレスとドメインは、誤解されたユーザーによる解決またはハイパーリンクを防ぐために意図的にデファンクされています(例: [.])。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ再ファンクしてください。
