**Storm-2949**の主な目的は、標的となった組織のMicrosoft 365およびAzure環境内の価値の高い資産から、可能な限り多くの機密データを盗むことです。攻撃は多段階のプロセスを経て行われ、ソーシャルエンジニアリングから始まり、さまざまなクラウドサービスからのデータ窃取に至ります。 ### 認証情報の窃盗による初期アクセス 攻撃チェーンは、IT担当者や上級管理職などの特権ロールを持つユーザーを標的としたソーシャルエンジニアリング戦術から始まります。**Storm-2949**は、Microsoft 365アプリケーション内のデータへのアクセスを許可する、Microsoft Entra IDの認証情報を取得することを目的としています。攻撃者は、標的となったアカウントのパスワードリセットを開始し、被害者に多要素認証（MFA）プロンプトの承認を強制することで、セルフサービスパスワードリセット（SSPR）フローを悪用しました。 欺瞞を強化するために、攻撃者はITサポート担当者を装い、緊急性と正当性を感じさせます。その後、パスワードをリセットし、既存のMFA制御を削除し、Microsoft Authenticatorを自身のデバイスに登録します。 ### Microsoft 365アプリケーションの悪用 侵害されたアカウントを使用して、**Storm-2949**はMicrosoft Graph APIとカスタムPythonスクリプトを悪用して、ユーザー、ロール、アプリケーション、およびサービスプリンシパルを列挙します。この偵察フェーズは、長期的な永続化の機会を特定するのに役立ちます。その後、Microsoft 365内のOneDriveおよびSharePointにアクセスし、VPN構成、IT運用ファイル、およびラテラルムーブメントのためのリモートアクセス詳細を検索します。 Microsoftによると、攻撃者はOneDriveのWebインターフェースを使用して、一度に数千のファイルをダウンロードしました。このデータ窃取パターンは、盗まれた情報のリーチを最大化するために、侵害されたユーザーアカウント全体で繰り返されました。 ### Azureインフラストラクチャへのピボット **Storm-2949**は、仮想マシン、ストレージアカウント、キーコンテナ、アプリサービス、およびSQLデータベースを標的として、被害者のAzureインフラストラクチャへのリーチを拡大します。攻撃者は、複数のAzureサブスクリプションに対して、特権を持つカスタムAzureロールベースアクセス制御（RBAC）ロールを持つ複数のIDを侵害しました。このアクセスにより、本番環境ベースのAzureサブスクリプションから機密資産を抽出することができました。 侵害されたユーザーの特権Azure RBAC権限を悪用することにより、**Storm-2949**はFTP、Web Deploy、およびAzure App Servicesを管理するためのKuduコンソールをデプロイするための認証情報を取得しました。このアクセスにより、アプリのコンテキスト内でファイルシステムをブラウズし、環境変数をチェックし、リモートでコマンドを実行することが可能になりました。 攻撃者は次にAzure Key Vaultsを標的とし、アクセス設定を変更し、データベース認証情報や接続文字列を含む多数のシークレットを盗みました。また、ファイアウォールおよびネットワークアクセスルールを変更し、ストレージキーおよびSASトークンを取得し、カスタムPythonスクリプトを使用してデータを窃取することにより、Azure SQLサーバーおよびストレージアカウントを標的にしました。Azure VM管理機能（VMAccessおよびRun Commandなど）は、不正な管理者アカウントを作成し、リモートスクリプトを実行し、認証情報を盗むために悪用されました。 後期の段階で、**Storm-2949**は侵害されたシステムにScreenConnectリモートアクセスツールをデプロイし、Microsoft Defenderの保護を無効にしようとし、フォレンジック証拠を消去しました。 .jpg) *出典: Microsoft* ### 緩和戦略 Microsoftは、**Storm-2949**攻撃に対する防御策として、セキュリティ強化とベストプラクティスを推奨しています。これには以下が含まれます。 * 最小権限の原則を採用する。 * 条件付きアクセスポリシーを有効にする。 * すべてのユーザーにMFA保護を追加する。 * 特権ロールを持つユーザーに対して、フィッシング耐性のあるMFAを確保する。 クラウドリソースを保護するために、Microsoftは以下を推奨しています。 * Azure RBAC権限を制限する。 * Azure Key Vaultログを最大1年間保持する。 * Key Vaultへのアクセスを削減する。 * Key Vaultへの公開アクセスを制限する。 * Azure Storageでデータ保護オプションを使用する。 * リスクの高いAzure管理操作を監視する。 Microsoftのレポートには、観測された攻撃の侵害の兆候（IOC）と、広範な緩和および保護ガイダンスが記載されています。 ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) 自動化されたペネトレーションテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました。それは、攻撃者がネットワークを通過できるかどうかです。それらは、制御が脅威をブロックするかどうか、検出ルールが発火するかどうか、またはクラウド構成が保持されるかどうかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 [Download Now](https://hubs.li/Q048zztN0)