ハッカーはクラウドのアイデンティティおよびアクセス管理システムを悪用することが増えており、Storm-2949として追跡されている脅威アクターによる系統的で高度な多層攻撃では、対象組織の高価値資産から可能な限り多くの機密データを流出させることに焦点を当てた、絶え間ないキャンペーンが実施されました。
Storm-2949として追跡される脅威アクターに帰属するこの攻撃は、Azureロールベースアクセス制御(RBAC)のアクセス許可がKey Vault、ストレージアカウント、および本番クラウド環境から機密データを盗むために悪用される可能性があることを示しています。
その作戦は標的を絞ったアイデンティティ侵害から始まり、すぐに大規模なクラウドの乗っ取りにエスカレートしました。従来のマルウェアをデプロイする代わりに、攻撃者は正当なMicrosoftクラウド機能に完全に依存し、通常の管理活動に溶け込みながらMicrosoft 365およびAzureサービス全体でアクセスを拡大することができました。
初期のエントリーポイントは、Microsoft Entra IDアカウントを悪用するソーシャルエンジニアリング技法を含んでいました。攻撃者は、ITサポートスタッフになりすましてユーザーに多要素認証プロンプトの承認を説得することで、セルフサービスパスワードリセット(SSPR)プロセスを悪用しました。
承認されると、攻撃者はアカウントの認証情報をリセットし、既存の認証方法を削除し、永続的なアクセスのために独自のデバイスを登録しました。これは正当なユーザーを効果的にロックアウトしながら、長期的なコントロールを維持しました。
Microsoftの脅威インテリジェンスによると、Storm-2949はMicrosoft Graph APIを使用して広範なディレクトリ偵察を実施しました。自動化されたスクリプトは、ユーザー、ロール、およびアプリケーションを列挙するために使用され、攻撃者が権限のあるアカウントを特定し、足がかりを拡大するのに役立ちました。
その後、OneDriveやSharePointなどのMicrosoft 365サービスにアクセスし、VPN設定や今後の横方向への移動を支援できる内部ドキュメントを含む機密ファイルを流出させました。
ハッカーはAzure RBACを悪用
脅威アクターがAzure環境にピボットしたときに、攻撃が激化しました。権限のあるRBACロールを持つ侵害されたアカウントを使用して、Azure App Services、Key Vault、ストレージアカウント、およびSQLデータベースを含む重要なクラウドリソースをターゲットにしました。その目的は明確でした:高価値のシークレットと本番データを特定して抽出することです。
攻撃はさまざまなAzureリソースにまたがり、サービスとしてのソフトウェア(SaaS)、サービスとしてのプラットフォーム(PaaS)、およびサービスとしてのインフラストラクチャ(IaaS)レイヤーに重点を置きました。
攻撃者がRBACのアクセス許可を悪用してAzure App Servicesからパブリッシングプロファイルをリトリーブしたときに、重大な突破口が生まれました。
これは彼らがKuduなどの配置認証情報と管理インターフェイスにアクセスすることを可能にし、アプリケーション環境のより深い検査を可能にしました。プライマリ本番アプリケーションへのアクセスの初期試行は失敗しましたが、攻撃者は戦略を適応させました。
彼らはAzure Key Vaultにフォーカスをシフトしました。そこでは機密認証情報がしばしば保存されています。Key Vaultに対するOwnerレベルのアクセス許可で、Storm-2949はアクセスポリシーを変更し、数分以内に多数のシークレットを抽出しました。
これらはデータベースの認証情報と認証トークンを含み、最終的には対象の本番アプリケーションにアクセスしてデータ流出を開始することを可能にしました。
並行して、攻撃者がAzureを操作し、SQLファイアウォールルールを変更して独自のIPアドレスを許可し、盗まれた認証情報を使用してデータベースにアクセスしました。
彼らはストレージアカウントのアクセス許可を悪用してアクセスキーを生成し、カスタムスクリプトを使用して大量のデータをダウンロードしました。これらのアクションは、検出を回避するためのファイアウォールルールの削除などのクリーンアップ活動により慎重に続きました。
クラウドサービスを超えて、Storm-2949はRun CommandやVMAccessなどのAzure VM拡張を悪用して仮想マシンも侵害しました。彼らはバックドア管理者アカウントを作成し、認証情報の収集を試み、ScreenConnectなどのリモート管理ツールを配備しました。
これらのツールは正当なプロセスに偽装され、偵察を実行し、侵害されたシステムから追加の認証情報を収集するために使用されました。
Microsoftは、攻撃がクラウドとエンドポイント環境全体に複数のアラートを生成し、それらが関連付けられて侵入の完全なビューを提供したことを指摘しました。これは、アイデンティティ、クラウド、およびエンドポイント活動をリンクできる動作ベースの検出システムの重要性を強調しています。
このキャンペーンは、アイデンティティ侵害とコントロールプレーン悪用が従来のマルウェア駆動型侵入に置き換わっているサイバー攻撃の広い転換を強調しています。
クラウドインフラストラクチャに大きく依存している組織は、アイデンティティ保護を優先し、最小権限アクセスを実施し、同様の脅威から防御するために管理アクションを厳密に監視する必要があります。
妥協指標(IOC)
| 指標 | タイプ | 説明 |
| 176.123.4[.]44 | IPアドレス | 攻撃者がこのアドレスから流出しました |
| 91.208.197[.]87 | IPアドレス | 攻撃者がこのアドレスから流出しました |
| 185.241.208[.]243 | IPアドレス | 攻撃者が使用したScreenConnectインスタンス |
注:IPアドレスとドメインは、誤解または過度なハイパーリンクを防ぐために意図的に無効化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://gbhackers.com/hackers-exploit-azure-rbac/
