Злоумышленники начали использовать опцию автосброса паролей для кражи данных в Azure

Злоумышленник, атакующий производственные среды Microsoft 365 и Azure, похищает данные с помощью атак, использующих уязвимости в легитимных приложениях и функциях администрирования.

Microsoft отслеживает этого злоумышленника как Storm-2949 и заявляет, что цель атак — «извлечь как можно больше конфиденциальных данных из ценных активов целевой организации».

Storm-2949 использовал методы социальной инженерии для атаки на пользователей с привилегированными ролями, таких как IT-персонал или члены высшего руководства, и получения их учётных данных Microsoft Entra ID для доступа к данным в приложениях Microsoft 365.

Microsoft считает, что злоумышленник злоупотребил процедурой самостоятельного сброса пароля (SSPR), в рамках которой он инициирует сброс пароля для учётной записи целевого сотрудника, а затем обманом заставляет жертву подтвердить запросы многофакторной аутентификации (MFA).

Чтобы сделать обман более убедительным, хакер выдаёт себя за сотрудника IT-поддержки, которому требуется срочная проверка учётной записи. Затем он сбрасывает пароль, отключает многофакторную аутентификацию и регистрирует Microsoft Authenticator на своем устройстве.

После взлома учётных записей Storm-2949 использует API Microsoft Graph и пользовательские скрипты Python для перечисления пользователей, ролей, приложений и субъектов служб, а также для оценки возможностей долговременного сохранения данных в каждом случае.

Затем хакер получает доступ к OneDrive и SharePoint в Microsoft 365, ища конфигурации VPN и операционные файлы IT, а также информацию об удалённом доступе, которая могла бы помочь в перемещении данных из облака в сеть конечных устройств.

«В одном случае Storm-2949 использовал веб-интерфейс OneDrive для загрузки тысяч файлов за одно действие