- Microsoftの研究者は、Storm-2949がセルフサービスパスワードリセットフローを悪用してアカウントをハイジャックしていることを警告しています
- 攻撃者は電話でMFAプロンプトの承認を被害者に仕掛け、その後パスワードをリセットして機密データを流出させます
- このキャンペーンはMicrosoft 365およびAzure環境を標的としており、Microsoftはより厳密なRBAC制御と高リスク操作の監視を促しています
Storm-2949として知られているハッキンググループは、Microsoftのサービス内のパスワードリセット機能を悪用して、人々のログイン認証情報を盗み、アカウントにアクセスし、できるだけ多くの機密データを流出させています。
Microsoft Defender Security Research Teamが発表した新しいレポートは、このキャンペーンの中核にはMicrosoftエコシステムで見つかるセルフサービスパスワードリセット(SSPR)フローがあると主張しています。
通常、従業員が認証情報を忘れて「パスワードを忘れた」ボタンをクリックすると、Microsoftは登録されたセカンダリデバイスにMFAプロンプトを送信します。従業員がそれを承認すると、プロセスが最初に開始されたのと同じデバイスを通じて新しいパスワードを設定することができます。
防御方法
Storm-2949はこれを非常に標的化された攻撃で悪用していました。まず、彼らは標的を特定し、電話番号と同様にMicrosoftのサービスにログインするために使用されるメールアドレスを取得します。その後、パスワードリセットフローを開始して、同時に被害者に電話をかけます。
彼らはIT技術者として身を紹介し、被害者にMFAプロンプトを承認させ、効果的に新しいパスワードを作成できるようにさせます。
次のステップは、被害者をアカウントから追い出し、できるだけ多くの情報を流出させることです。
Microsoft脅威インテリジェンスチームは、キャンペーンを「計画的で、高度で、多層的」と説明し、Microsoft 365アプリケーション、ファイルホスティングサービス、およびAzureホスト環境を標的としています。
「ある事例では、Storm-2949はOneDrive Webインターフェースを使用して、単一のアクション内で数千のファイルを独自のインフラストラクチャにダウンロードしました」とMicrosoftは述べています。「このデータ盗難パターンは、すべての侵害されたユーザーアカウント全体で繰り返されました。異なる識別情報がさまざまなフォルダと共有ディレクトリにアクセスできたためと考えられます。」
このキャンペーンから防御するために、Microsoftはユーザーに対してAzure RBACアクセス許可を制限し、Azure Key Vaultログを1年間保持し、Key Vaultへのアクセスを減らし、Key Vaultsへのパブリックアクセスを制限することを提案しています。また、Azure Storageでのデータ保護オプションの使用と、高リスクのAzure管理操作の監視をお勧めしています。
