コンテンツにスキップするには Enter キーを押してください

ランサムウェアグループ、ハイブリッドクラウドの隙間を突き、企業攻撃でAzureを完全掌握

投稿日 2025年8月29日

Microsoftは、金銭目的の脅威アクター「Storm-0501」がデータ窃取と恐喝のためにクラウド環境を標的にするよう焦点を移していると警告しています。

少なくとも2021年から活動しているStorm-0501は、Sabbath、Alphv/BlackCat、Hive、Hunters International、LockBit、Embargoなど、さまざまなランサムウェアファミリーを使用し、オンプレミスおよびハイブリッドクラウド環境への攻撃で知られています。

昨年、このハッキンググループはActive Directory環境を侵害し、Entra IDへ移行、グローバル管理者への権限昇格、Entra IDテナント構成へのバックドア設置、オンプレミスのランサムウェア展開によるファイル暗号化を行っているのが確認されました。

最近の大企業への攻撃では、脅威アクターは同様の手法を用いました。複数のActive Directoryドメインを侵害し、保護されたエンドポイントの特定や検知回避のための偵察を実施、Evil-WinRMポストエクスプロイトツールを使って横移動を行いました。

その後、Storm-0501はEntra Connect Syncサーバーを侵害し、ドメインコントローラーになりすましてドメインユーザーのパスワードハッシュを要求しました。また、ユーザー、ロール、Azureリソースの列挙を行い、複数の特権ユーザーとしてのログインも試みました。

ログイン試行が失敗した後、ハッカーはActive Directoryドメイン間を移動し、別のEntra Connectサーバーを侵害、Entra IDでグローバル管理者権限を持つ非人間同期IDを特定し、そのアカウントのパスワードをリセットしてアクセスしました。

「その結果、脅威アクターは新しいパスワードを使ってそのユーザーとしてEntra IDに認証できました。そのユーザーにはMFA(多要素認証)が登録されていなかったため、新しいパスワードで認証に成功すると、脅威アクターは自分たちの管理下で新たなMFA方法を登録するだけで済みました」とMicrosoftは説明しています。

Microsoft Entraハイブリッド参加デバイスを特定した後、Storm-0501はグローバル管理者としてAzureポータルにアクセスし、クラウドドメインを完全に掌握しました。直ちに新しいEntra IDテナントを登録し、任意のユーザーとしてサインインできるバックドアを展開しました。

広告。スクロールして続きをお読みください。

最上位のEntra ID権限を手にしたハッカーは、被害者の全Azureサブスクリプションに対してOwner Azureロールへの権限昇格を行い、事実上Azure環境全体を乗っ取りました。

「脅威アクターは、AzureHoundツールの使用を含むさまざまな手法で包括的な探索フェーズを開始し、組織の重要資産、機密情報を含むデータストア、オンプレミスやクラウドエンドポイントデバイスのバックアップ用データストアリソースの特定を試みたと評価しています」とMicrosoftは述べています。

攻撃者はまた、Azure Storageアカウントを標的とし、Azure Ownerロールを悪用してアクセスキーを窃取、インターネット非公開のアカウントをウェブや自分たちのインフラに公開し、AzCopyコマンドラインツール(CLI)を使ってデータを流出させました。

データを盗んだ後、ハッカーは復旧措置を妨害するため大量削除を開始しました。また、一部データの削除を防ぐ保護の消去も試み、消去できないリソースにはクラウドベースの暗号化を利用しました。

「Azure環境内のデータの流出と破壊に成功した後、脅威アクターは恐喝フェーズに移行し、以前に侵害したユーザーの1人を使ってMicrosoft Teams経由で被害者に連絡し、身代金を要求しました」とMicrosoftは述べています。

また、テック大手は、被害者のクラウド環境を侵害した後、Storm-0501がクラウドネイティブのコマンドや機能を活用して偵察、横移動、認証情報の流出、権限昇格、データの流出・削除・暗号化を実施したことも指摘しています。

「Storm-0501は、オンプレミスとクラウド環境間の移動に引き続き熟練を示しており、ハイブリッドクラウドの導入が進む中で脅威アクターがどのように適応しているかを体現しています。彼らは管理されていないデバイスやハイブリッドクラウド環境のセキュリティギャップを狙い、検知を回避してクラウド権限をエスカレートし、場合によってはマルチテナント環境でテナント間を横断して目的を達成します」と同社は述べています。

関連記事: Salesforceの数百社が大規模なデータ窃取キャンペーンの被害に

関連記事: グルーチョの機知、クラウドの複雑さ、一貫したセキュリティポリシーの必要性

関連記事: ImageRunnerの脆弱性でGoogle Cloudの機密情報が漏洩関連記事:マルチクラウドネットワークにはクラウドネイティブな保護が必要

翻訳元: https://www.securityweek.com/ransomware-group-exploits-hybrid-cloud-gaps-gains-full-azure-control-in-enterprise-attacks/

Published in securityweek.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です