Microsoft 365およびAzureのプロダクション環境をターゲットにしている脅威アクターが、正当なアプリケーションと管理機能を悪用した攻撃でデータを盗んでいます。
Microsoftはこのアクターを「Storm-2949」として追跡しており、攻撃の目的は「対象組織の高価値資産からできるだけ多くの機密データを流出させること」だと述べています。
Storm-2949は、ITスタッフやシニアリーダーシップのメンバーなど特権的な役割を持つユーザーをターゲットにソーシャルエンジニアリングを使用し、彼らのMicrosoft Entra IDクレデンシャルを取得してMicrosoft 365アプリケーションのデータにアクセスしました。
動画プレーヤーは現在広告を再生中です。マウスまたはキーボードで5秒後に広告をスキップできます
Microsoftは、このアクターがセルフサービスパスワードリセット(SSPR)フローを悪用していると考えており、攻撃者はターゲット従業員のアカウントのパスワードリセットを開始し、その後被害者を欺いて多要素認証(MFA)プロンプトを承認させます。
このたくらみをより説得力のあるものにするため、ハッカーはアカウントの緊急検証が必要なITサポート従業員になりすまします。
その後、ハッカーはパスワードをリセットし、MFA制御を削除し、自分のデバイスにMicrosoft Authenticatorを登録しました。
Microsoft 365アプリをターゲット化
アカウントを乗っ取った後、Storm-2949はMicrosoft Graph APIとカスタムPythonスクリプトを使用して、ユーザー、ロール、アプリケーション、サービスプリンシパルを列挙し、各ケースの長期的な永続化の機会を評価しました。
次に、彼らはMicrosoft 365のOneDriveとSharePointにアクセスし、VPN設定とIT運用ファイルを検索し、クラウドからエンドポイントネットワークへのラテラルムーブメントに役立つリモートアクセスの詳細を探しました。
「ある事例では、Storm-2949はOneDriveのWebインターフェースを使用して、単一の操作で数千のファイルを自分たちのインフラストラクチャにダウンロードしました」とMicrosoftは述べています。
「このデータ盗難パターンは侵害されたすべてのユーザーアカウント全体で繰り返されました。異なるアイデンティティが異なるフォルダおよび共有ディレクトリへのアクセスを持っていたためと考えられます。」
Storm-2949は、仮想マシン、ストレージアカウント、キーボルト、アプリサービス、SQLデータベースを含む被害者のAzureインフラストラクチャへの攻撃を拡大しました。
Azureへのピボット
Microsoftによれば、攻撃者は複数のAzureサブスクリプション上に特権的なカスタムAzureロールベースアクセス制御(RBAC)ロールを持つ複数のアイデンティティを侵害しました。
これにより、彼らは「被害者のAzure環境内の最も機密性の高い資産、特にプロダクションベースのAzureサブスクリプションから、最も機密性の高い資産を発見して抽出することができました。」
侵害されたユーザーの特権Azure RBAC権限を活用することで、Storm-2949はAzureアプリサービスを管理するためのFTP、Web Deploy、およびKuduコンソールをデプロイできるクレデンシャルを取得できました。
この時点で、アクターはファイルシステムを参照し、環境変数を確認し、アプリのコンテキスト内でリモートコマンドを実行することができました。
Storm-2949はその後Azure Key Vaultsにピボットし、アクセス設定を変更し、データベースクレデンシャルと接続文字列を含む数十のシークレットを盗みました。
攻撃者はまた、ファイアウォールおよびネットワークアクセスルールを変更し、ストレージキーとSASトークンを取得し、カスタムPythonスクリプトを使用してデータを流出させることで、Azure SQLサーバーとストレージアカウントをターゲットにしました。
VMAccessおよびRun CommandなどのAzure VM管理機能は、不正な管理者アカウントを作成し、リモートスクリプトを実行し、クレデンシャルを盗むために悪用されました。
攻撃の後期段階では、Storm-2949は侵害されたシステムにScreenConnectリモートアクセスツールをデプロイし、Microsoft Defenderの保護を無効にしようとし、フォレンジック証拠を消去しました。
Microsoftは、新しい、新興、または開発中であるため分類されていない脅威アクティビティの一時的な指定としてStormを使用していることに注意すべきです。
Storm-2949攻撃から身を守るため、Microsoftは最小権限の原則を採用し、条件付きアクセスポリシーを有効にし、すべてのユーザーに多要素認証保護を追加し、管理者などの特権的な役割を持つユーザーに対してフィッシング耐性のある多要素認証を確保することを含むセキュリティ強化とベストプラクティスに従うことを推奨しています。
クラウドリソースを保護するため、同社はAzure RBAC権限を制限し、Azure Key Vaultログを1年まで保持し、Key Vaultへのアクセスを削減し、Key Vaultsへのパブリックアクセスを制限し、Azure Storageのデータ保護オプションを使用し、高リスクのAzure管理操作を監視することをお勧めしています。
Microsoftのレポートは、観測された攻撃に対する侵害の指標と、広範な軽減および保護ガイダンスを提供しています。
検証ギャップ:自動ペネトレーションテストが1つの質問に答えます。あなたは6つ必要です。
自動ペネトレーションテストツールは実際の価値を提供していますが、1つの質問に答えるために構築されました:攻撃者はネットワークを移動できますか?あなたのコントロールが脅威をブロックしているかどうか、検出ルールが発動しているかどうか、またはクラウド設定が機能しているかどうかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
