O principal objetivo do **Storm-2949** é roubar o máximo de dados sensíveis possível dos ativos de alto valor das organizações visadas em ambientes **Microsoft 365** e **Azure**. Os ataques envolvem um processo de várias etapas, começando com engenharia social e culminando na exfiltração de dados de vários serviços em nuvem. ### Acesso Inicial via Roubo de Credenciais A cadeia de ataque começa com táticas de engenharia social visando usuários com funções privilegiadas, como pessoal de TI ou liderança sênior. O **Storm-2949** visa obter suas credenciais do **Microsoft Entra ID**, concedendo-lhes acesso a dados em aplicativos do **Microsoft 365**. O atacante abusou do fluxo de Redefinição de Senha de Autoatendimento (SSPR), iniciando redefinições de senha para contas visadas e enganando vítimas para aprovar prompts de autenticação multifator (MFA). Para aprimorar o engano, os atacantes se passam por pessoal de suporte de TI, criando um senso de urgência e legitimidade. Eles então redefinem a senha, removem os controles de MFA existentes e registram o **Microsoft Authenticator** em seu próprio dispositivo. ### Explorando Aplicativos do Microsoft 365 Com contas comprometidas, o **Storm-2949** utiliza a **Microsoft Graph API** e scripts Python personalizados para enumerar usuários, funções, aplicativos e entidades de serviço. Essa fase de reconhecimento os ajuda a identificar oportunidades de persistência a longo prazo. Em seguida, eles acessam **OneDrive** e **SharePoint** dentro do **Microsoft 365**, procurando configurações de VPN, arquivos operacionais de TI e detalhes de acesso remoto para movimento lateral. De acordo com a **Microsoft**, os atacantes usaram a interface web do **OneDrive** para baixar milhares de arquivos em uma única ação. Esse padrão de roubo de dados foi repetido em contas de usuário comprometidas para maximizar o alcance das informações roubadas. ### Pivotando para a Infraestrutura Azure O **Storm-2949** estende seu alcance à infraestrutura **Azure** da vítima, visando máquinas virtuais, contas de armazenamento, cofres de chaves, serviços de aplicativos e bancos de dados SQL. Os atacantes comprometeram várias identidades com funções personalizadas privilegiadas de controle de acesso baseado em função **Azure** (RBAC) em várias assinaturas **Azure**. Esse acesso permitiu que eles extraíssem ativos sensíveis de assinaturas **Azure** baseadas em produção. Ao explorar as permissões privilegiadas de **Azure RBAC** do usuário comprometido, o **Storm-2949** obteve credenciais para implantar FTP, Web Deploy e o console Kudu para gerenciar **Azure App Services**. Esse acesso permitiu que eles navegassem no sistema de arquivos, verificassem variáveis de ambiente e executassem comandos remotamente no contexto do aplicativo. Os atacantes então visaram **Azure Key Vaults**, modificando configurações de acesso e roubando vários segredos, incluindo credenciais de banco de dados e strings de conexão. Eles também visaram servidores **Azure SQL** e contas de Armazenamento alterando regras de firewall e acesso de rede, recuperando chaves de armazenamento e tokens SAS, e exfiltrando dados usando scripts Python personalizados. Recursos de gerenciamento de **Azure VM** como **VMAccess** e **Run Command** foram abusados para criar contas de administrador não autorizadas, executar scripts remotos e roubar credenciais. Nas fases posteriores, o **Storm-2949** implantou a ferramenta de acesso remoto **ScreenConnect** em sistemas comprometidos, tentou desabilitar proteções do **Microsoft Defender** e apagou evidências forenses. .jpg) *Fonte: Microsoft* ### Estratégias de Mitigação A **Microsoft** recomenda o endurecimento de segurança e as melhores práticas para se defender contra ataques do **Storm-2949**, incluindo: * Adoção do princípio do menor privilégio. * Habilitação de políticas de acesso condicional. * Adição de proteção MFA para todos os usuários. * Garantia de MFA resistente a phishing para usuários com funções privilegiadas. Para proteger recursos em nuvem, a **Microsoft** aconselha: * Limitação de permissões **Azure RBAC**. * Manutenção de logs do **Azure Key Vault** por até um ano. * Redução do acesso ao **Key Vault**. * Restrição de acesso público a **Key Vaults**. * Uso de opções de proteção de dados no **Azure Storage**. * Monitoramento de operações de gerenciamento **Azure** de alto risco. O relatório da Microsoft fornece indicadores de comprometimento para os ataques observados, juntamente com extensas orientações de mitigação e proteção. ## [A Lacuna de Validação: Pentest Automatizado Responde a Uma Pergunta. Você Precisa de Seis.](https://hubs.li/Q048zztN0) Ferramentas de pentest automatizado entregam valor real, mas foram construídas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)