El objetivo principal de **Storm-2949** es robar la mayor cantidad posible de datos sensibles de los activos de alto valor de las organizaciones objetivo dentro de los entornos de **Microsoft 365** y **Azure**. Los ataques implican un proceso de múltiples etapas, comenzando con ingeniería social y culminando en la exfiltración de datos de varios servicios en la nube. ### Acceso Inicial a través del Robo de Credenciales La cadena de ataque comienza con tácticas de ingeniería social dirigidas a usuarios con roles privilegiados, como personal de TI o altos directivos. **Storm-2949** busca obtener sus credenciales de **Microsoft Entra ID**, lo que les otorga acceso a datos dentro de las aplicaciones de **Microsoft 365**. El atacante abusó del flujo de Restablecimiento de Contraseña de Autoservicio (SSPR), iniciando restablecimientos de contraseña para cuentas objetivo y engañando a las víctimas para que aprobaran las solicitudes de autenticación multifactor (MFA). Para mejorar el engaño, los atacantes se hacen pasar por personal de soporte de TI, creando una sensación de urgencia y legitimidad. Luego restablecen la contraseña, eliminan los controles MFA existentes e inscriben **Microsoft Authenticator** en su propio dispositivo. ### Explotación de Aplicaciones de Microsoft 365 Con las cuentas comprometidas, **Storm-2949** aprovecha la **Microsoft Graph API** y scripts personalizados de Python para enumerar usuarios, roles, aplicaciones y principals de servicio. Esta fase de reconocimiento les ayuda a identificar oportunidades de persistencia a largo plazo. Luego acceden a **OneDrive** y **SharePoint** dentro de **Microsoft 365**, buscando configuraciones de VPN, archivos operativos de TI y detalles de acceso remoto para el movimiento lateral. Según **Microsoft**, los atacantes utilizaron la interfaz web de **OneDrive** para descargar miles de archivos en una sola acción. Este patrón de robo de datos se repitió en cuentas de usuario comprometidas para maximizar el alcance de la información robada. ### Pivote a la Infraestructura de Azure **Storm-2949** extiende su alcance a la infraestructura **Azure** de la víctima, atacando máquinas virtuales, cuentas de almacenamiento, bóvedas de claves, servicios de aplicaciones y bases de datos SQL. Los atacantes comprometieron múltiples identidades con roles personalizados privilegiados de control de acceso basado en roles (**Azure RBAC**) en múltiples suscripciones de **Azure**. Este acceso les permitió extraer activos sensibles de suscripciones de **Azure** basadas en producción. Al explotar los permisos privilegiados de **Azure RBAC** del usuario comprometido, **Storm-2949** obtuvo credenciales para implementar FTP, Web Deploy y la consola Kudu para administrar **Azure App Services**. Este acceso les permitió navegar por el sistema de archivos, verificar variables de entorno y ejecutar comandos de forma remota dentro del contexto de la aplicación. Los atacantes luego se dirigieron a **Azure Key Vaults**, modificando la configuración de acceso y robando numerosos secretos, incluidas credenciales de bases de datos y cadenas de conexión. También atacaron servidores **Azure SQL** y cuentas de almacenamiento cambiando las reglas de acceso a la red y al firewall, recuperando claves de almacenamiento y tokens SAS, y exfiltrando datos utilizando scripts personalizados de Python. Las características de administración de **Azure VM** como **VMAccess** y **Run Command** fueron abusadas para crear cuentas de administrador no autorizadas, ejecutar scripts remotos y robar credenciales. En las etapas posteriores, **Storm-2949** desplegó la herramienta de acceso remoto **ScreenConnect** en sistemas comprometidos, intentó deshabilitar las protecciones de **Microsoft Defender** y borró la evidencia forense. .jpg) *Fuente: Microsoft* ### Estrategias de Mitigación **Microsoft** recomienda la mejora de la seguridad y las mejores prácticas para defenderse de los ataques de **Storm-2949**, que incluyen: * Adoptar el principio de menor privilegio. * Habilitar políticas de acceso condicional. * Agregar protección MFA para todos los usuarios. * Garantizar MFA resistente al phishing para usuarios con roles privilegiados. Para proteger los recursos en la nube, **Microsoft** aconseja: * Limitar los permisos de **Azure RBAC**. * Mantener los registros de **Azure Key Vault** hasta por un año. * Reducir el acceso a **Key Vault**. * Restringir el acceso público a **Key Vaults**. * Utilizar opciones de protección de datos en **Azure Storage**. * Monitorear operaciones de administración de **Azure** de alto riesgo. El informe de Microsoft proporciona indicadores de compromiso para los ataques observados junto con una extensa guía de mitigación y protección. ## [El Vacío de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis.](https://hubs.li/Q048zztN0) Las herramientas de pruebas de penetración automatizadas brindan valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron creadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si sus configuraciones en la nube se mantienen. Esta guía cubre las 6 superficies que realmente necesita validar. [Descargar Ahora](https://hubs.li/Q048zztN0)