Auf den Punkt: Die Bedrohungsgruppe Storm-2949 führt gezielte Angriffe auf Microsoft 365 und Azure durch, indem sie das Self-Service Password Reset-System missbraucht, sich mit gestohlenen Anmeldedaten Zugang zu sensiblen Daten verschafft und diese über verschiedene Azure-Services exfiltriert.
Eine Bedrohungsgruppe namens Storm-2949 führt gezielte Angriffe auf Microsoft 365- und Azure-Umgebungen durch. Die Angreifer nutzen Social Engineering und das Self-Service Password Reset (SSPR)-System, um sich Zugang zu hochprivilegierten Konten zu verschaffen und umfangreiche Datenmengen zu stehlen.
Microsoft hat eine Angriffskampagne der Bedrohungsgruppe Storm-2949 dokumentiert, die gezielt auf Organisationen mit Microsoft 365- und Azure-Infrastrukturen abzielt. Das erklärte Ziel der Angreifer ist es, so viele sensible Daten wie möglich aus den kritischen Systemen der Zielorganisation abzuziehen.
Die Angreifer nutzen Social Engineering, um Benutzer mit privilegierten Rollen anzusprechen – etwa IT-Personal oder Führungskräfte. Dabei initiieren sie zunächst einen Passwort-Zurücksetzen-Prozess für das Zielkonto. Anschließend manipulieren sie das Opfer dazu, Multi-Faktor-Authentifizierungs-Anfragen zu genehmigen, indem sie sich als IT-Support-Mitarbeiter ausgeben, der eine dringende Kontoüberprüfung durchführen muss. Nach erfolgreichem Hijacking des Kontos deaktivieren die Angreifer die MFA-Kontrollen und installieren Microsoft Authenticator auf ihren Geräten.
Nach der Kontoübernahme setzen Storm-2949-Akteure die Microsoft Graph API und benutzerdefinierte Python-Skripte ein, um Benutzer, Rollen, Anwendungen und Service Principals zu enumerieren. Dabei prüfen sie auch Möglichkeiten für längerfristige Persistenz. Die Angreifer durchsuchen dann OneDrive und SharePoint nach VPN-Konfigurationen und IT-Operationsdateien, um Informationen für seitliche Bewegungen vom Cloud-System in das Endpoint-Netzwerk zu erlangen. In einem Fall luden die Angreifer über die OneDrive-Weboberfläche tausende Dateien in einem Durchgang auf ihre eigene Infrastruktur herunter.
Die Angreifer erweitern ihre Aktivitäten später auf die Azure-Infrastruktur des Opfers, einschließlich virtueller Maschinen, Speicherkonten, Key Vaults, App Services und SQL-Datenbanken. Sie nutzen kompromittierte Identitäten mit privilegierten benutzerdefinierten Azure-RBAC-Rollen, um auf sensible Assets in produktiven Azure-Abonnements zuzugreifen. Mit den gestohlenen Anmeldedaten deployen sie FTP, Web Deploy und die Kudu-Konsole zur Verwaltung von Azure App Services, was ihnen ermöglicht, das Dateisystem zu durchsuchen und Befehle remote auszuführen.
Storm-2949 modifiziert auch die Zugriffseinstellungen von Azure Key Vaults und stiehlt zahlreiche Geheimnisse, einschließlich Datenbankzugangsdaten und Verbindungszeichenfolgen. Die Angreifer ändern zudem Firewall- und Netzwerkzugriffsregeln auf Azure SQL-Servern und Speicherkonten, um Speicherschlüssel und SAS-Tokens zu extrahieren. Sie nutzen auch Azure-VM-Verwaltungsfunktionen wie VMAccess und Run Command, um Rogue-Administratorkonten zu erstellen und Anmeldedaten zu stehlen. In den späteren Phasen deployen die Angreifer das Remote-Zugriffstool ScreenConnect und versuchen, Microsoft Defender-Schutzmaßnahmen zu deaktivieren.