Das Hauptziel von **Storm-2949** ist es, so viele sensible Daten wie möglich aus den hochwertigen Assets der Zielorganisationen in **Microsoft 365** und **Azure**-Umgebungen zu stehlen. Die Angriffe beinhalten einen mehrstufigen Prozess, der mit Social Engineering beginnt und in der Datenexfiltration aus verschiedenen Cloud-Diensten gipfelt. ### Erster Zugriff durch Diebstahl von Anmeldedaten Die Angriffskette beginnt mit Social-Engineering-Taktiken, die sich gegen Benutzer mit privilegierten Rollen richten, wie z. B. IT-Personal oder leitende Angestellte. **Storm-2949** zielt darauf ab, deren **Microsoft Entra ID**-Anmeldedaten zu erhalten, was ihnen den Zugriff auf Daten innerhalb von **Microsoft 365**-Anwendungen ermöglicht. Der Angreifer missbrauchte den Self-Service-Passwort-Reset (SSPR)-Flow, initiierte Passwort-Resets für Zielkonten und verleitete Opfer dazu, Multi-Faktor-Authentifizierungs (MFA)-Aufforderungen zu genehmigen. Um die Täuschung zu verstärken, geben sich Angreifer als IT-Supportmitarbeiter aus und erzeugen ein Gefühl der Dringlichkeit und Legitimität. Sie setzen dann das Passwort zurück, entfernen bestehende MFA-Kontrollen und registrieren **Microsoft Authenticator** auf ihrem eigenen Gerät. ### Ausnutzung von Microsoft 365-Anwendungen Mit kompromittierten Konten nutzt **Storm-2949** die **Microsoft Graph API** und benutzerdefinierte Python-Skripte, um Benutzer, Rollen, Anwendungen und Service Principals aufzulisten. Diese Aufklärungsphase hilft ihnen, Möglichkeiten für langfristige Persistenz zu identifizieren. Anschließend greifen sie auf **OneDrive** und **SharePoint** innerhalb von **Microsoft 365** zu und suchen nach VPN-Konfigurationen, IT-Betriebsdateien und Fernzugangsdetails für laterale Bewegungen. Laut **Microsoft** nutzten die Angreifer die **OneDrive**-Weboberfläche, um Tausende von Dateien in einer einzigen Aktion herunterzuladen. Dieses Muster des Datendiebstahls wurde über kompromittierte Benutzerkonten wiederholt, um die Reichweite der gestohlenen Informationen zu maximieren. ### Pivot zur Azure-Infrastruktur **Storm-2949** erweitert seine Reichweite auf die **Azure**-Infrastruktur des Opfers und zielt auf virtuelle Maschinen, Speicherkonten, Key Vaults, App Services und SQL-Datenbanken. Die Angreifer kompromittierten mehrere Identitäten mit privilegierten benutzerdefinierten **Azure** Role-Based Access Control (RBAC)-Rollen auf mehreren **Azure**-Abonnements. Dieser Zugriff ermöglichte es ihnen, sensible Assets aus produktionsbasierten **Azure**-Abonnements zu extrahieren. Durch die Ausnutzung der privilegierten **Azure RBAC**-Berechtigungen des kompromittierten Benutzers erlangte **Storm-2949** Anmeldedaten, um FTP, Web Deploy und die Kudu-Konsole für die Verwaltung von **Azure App Services** bereitzustellen. Dieser Zugriff ermöglichte es ihnen, das Dateisystem zu durchsuchen, Umgebungsvariablen zu überprüfen und Befehle remote im Kontext der App auszuführen. Die Angreifer zielen dann auf **Azure Key Vaults** ab, änderten Zugriffseinstellungen und stahlen zahlreiche Geheimnisse, darunter Datenbankanmeldedaten und Verbindungszeichenfolgen. Sie zielen auch auf **Azure SQL**-Server und Speicherkonten ab, indem sie Firewall- und Netzwerkzugriffsregeln ändern, Speicher-Schlüssel und SAS-Token abrufen und Daten mithilfe benutzerdefinierter Python-Skripte exfiltrieren. **Azure VM**-Verwaltungsfunktionen wie **VMAccess** und **Run Command** wurden missbraucht, um bösartige Administrator-Konten zu erstellen, Remote-Skripte auszuführen und Anmeldedaten zu stehlen. In späteren Phasen setzte **Storm-2949** das Remote-Access-Tool **ScreenConnect** auf kompromittierten Systemen ein, versuchte, **Microsoft Defender**-Schutzmaßnahmen zu deaktivieren und forensische Beweise zu löschen. .jpg) *Quelle: Microsoft* ### Abhilfestrategien **Microsoft** empfiehlt Sicherheits-Hardening und Best Practices zur Abwehr von **Storm-2949**-Angriffen, darunter: * Anwendung des Prinzips der geringsten Privilegien. * Aktivierung von Conditional Access-Richtlinien. * Hinzufügen von MFA-Schutz für alle Benutzer. * Sicherstellung von Phishing-resistentem MFA für Benutzer mit privilegierten Rollen. Zum Schutz von Cloud-Ressourcen rät **Microsoft**: * Begrenzung der **Azure RBAC**-Berechtigungen. * Aufbewahrung von **Azure Key Vault**-Protokollen bis zu einem Jahr. * Reduzierung des Zugriffs auf **Key Vault**. * Beschränkung des öffentlichen Zugriffs auf **Key Vaults**. * Verwendung von Datensicherungsoptionen in **Azure Storage**. * Überwachung von risikoreichen **Azure**-Verwaltungsoperationen. Der Bericht von Microsoft enthält Indikatoren für Kompromittierung für die beobachteten Angriffe sowie umfassende Anleitungen zur Abhilfe und zum Schutz. ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln ausgelöst werden oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)