Microsoftの脅威インテリジェンスは最近、脅威アクター「Storm-2949」による高度なサイバー攻撃を確認しました。この攻撃はMicrosoft 365およびAzure環境からの大規模なデータ窃取を目的としたものでした。
従来のオンプレミス型マルウェアから脱却し、攻撃者は正規のクラウド管理ツールとAzureのロールベースアクセス制御(RBAC)権限を武器化し、ラテラルムーブメントを実現して高価値な本番システムからデータを窃取しました。
攻撃はIT担当者や上級管理職を標的とした高度にターゲットを絞ったソーシャルエンジニアリングから始まりました。
Storm-2949はMicrosoftのセルフサービスパスワードリセット(SSPR)機能を悪用し、ITサポートになりすまして被害者に不正な多要素認証(MFA)プロンプトを承認させました。
ユーザーがプロンプトを承認すると、攻撃者はパスワードをリセットし、既存の認証方法を削除しました。
その後すぐに攻撃者は自分のデバイスをMicrosoft Authenticatorに登録し、侵害されたアカウントへの永続的かつ無制限なアクセス権を自らに付与しました。
足がかりを確立した攻撃者は、カスタムPythonスクリプトとMicrosoft Graph APIを使用して、ユーザー、ロール、アプリケーションを列挙しました。
続いて、OneDriveやSharePointなどのMicrosoft 365アプリから VPN設定やリモートアクセスに関する機密ITドキュメントの窃取を迅速に実行しました。
この初期データ窃取は、組織のより広範なインフラへの侵入経路をマッピングするための足がかりとなりました。
侵害されたIDに紐づけられた特権カスタムAzure RBACロールを武器に、Storm-2949は組織のAzure環境へと侵入先を移しました。
最初は管理プレーン操作を使用してパブリッシングプロファイルを取得することで、補助的なAzure App Service Webアプリを標的にしました。これによりKudu管理コンソールへのアクセスは得られましたが、主要な本番アプリケーションのアンロックには失敗しました。
戦略を転換した攻撃者は、特権的な「Owner」RBACロールを活用して組織のAzure Key Vaultを侵害しました。わずか4分でアクセス設定を操作しました。
データベース接続文字列やIDクレデンシャルを含む数十件の重要なシークレットを窃取しました。これらの盗まれたシークレットにより、主要な本番Webアプリへの認証キーを手に入れることに成功しました。
攻撃はクラウドエコシステム全体へと急速に拡大しました。脅威グループはAzure SQLサーバーのファイアウォールルールを操作し、Azure Storageのネットワーク設定を変更して、攻撃者が制御するIPアドレスからのパブリックアクセスを有効にしました。
Shared Access Signature(SAS)トークンとカスタムPythonスクリプトを使用して、大量のデータを直接ローカルデバイスに吸い出しました。
同時に、Storm-2949はRun CommandやVMAccessなどのAzure仮想マシン(VM)拡張機能を悪用して、バックドア用のローカル管理者アカウントを作成しました。
Microsoft Defender Antivirusのリアルタイム保護を無効にするスクリプトを展開しました。最終的に、侵害されたエンドポイントから証明書ファイルなどの追加クレデンシャルを収集するため、ScreenConnectリモート監視ツールをインストールしました。
防御担当者は、同様の攻撃経路を軽減するために、厳格なIDおよびクラウドリソース保護を実装する必要があります。
翻訳元: https://cyberpress.org/hackers-abuse-azure-rbac/