Um threat actor que mira ambientes de produção do Microsoft 365 e do Azure está roubando dados em ataques que abusam de aplicações legítimas e recursos de administração.
A Microsoft acompanha o grupo como Storm-2949 e afirma que o objetivo dos ataques é “exfiltrar o máximo possível de dados sensíveis dos ativos de alto valor de uma organização-alvo”.
O Storm-2949 usou engenharia social para atingir usuários com funções privilegiadas, como equipes de TI e integrantes da alta liderança, e obter credenciais do Microsoft Entra ID para acessar dados em aplicações do Microsoft 365.
A Microsoft acredita que o grupo abusou do fluxo de Redefinição de Senha por Autoatendimento, ou SSPR, em que o atacante inicia a redefinição da senha de uma conta-alvo e depois engana a vítima para aprovar solicitações de MFA.
Para tornar a fraude mais convincente, o hacker se passava por um funcionário do suporte de TI que precisava de verificação urgente da conta.
Em seguida, ele redefinia a senha, removia os controles de MFA e cadastrava o Microsoft Authenticator em seu próprio dispositivo.
Depois de sequestrar as contas, o Storm-2949 usou a Microsoft Graph API e scripts personalizados em Python para enumerar usuários, funções, aplicações e entidades de serviço, além de avaliar oportunidades de persistência de longo prazo em cada caso.
Na sequência, acessou o OneDrive e o SharePoint no Microsoft 365, buscando configurações de VPN e arquivos operacionais de TI, à procura de detalhes de acesso remoto que pudessem facilitar o movimento lateral da nuvem para a rede de endpoint.
“Em um caso, o Storm-2949 usou a interface web do OneDrive para baixar milhares de arquivos em uma única ação para a própria infraestrutura”, informou a Microsoft.
“Esse padrão de roubo de dados se repetiu em todas as contas de usuário comprometidas, provavelmente porque identidades diferentes tinham acesso a pastas e diretórios compartilhados distintos.”
O Storm-2949 ampliou o ataque para a infraestrutura Azure da vítima, incluindo máquinas virtuais, contas de armazenamento, cofre de chaves, serviços de aplicativos e bancos de dados SQL.
Segundo a Microsoft, o atacante comprometeu várias identidades com funções personalizadas privilegiadas de controle de acesso baseado em função, ou RBAC, em múltiplas assinaturas do Azure.
Isso permitiu “descobrir e extrair os ativos mais sensíveis dentro do ambiente Azure da vítima, especificamente em assinaturas de produção”.
Ao explorar as permissões privilegiadas de RBAC da conta comprometida, o Storm-2949 conseguiu obter credenciais que permitiram implantar FTP, Web Deploy e o console Kudu para gerenciar os serviços de aplicativos do Azure.
Nesse ponto, o grupo podia navegar pelo sistema de arquivos, verificar variáveis de ambiente e executar comandos remotamente no contexto da aplicação.
Depois, o Storm-2949 avançou para os Azure Key Vaults, onde alterou configurações de acesso e roubou dezenas de segredos, incluindo credenciais de banco de dados e cadeias de conexão.
Os atacantes também miraram servidores Azure SQL e contas de armazenamento, alterando regras de firewall e de acesso à rede, recuperando chaves de armazenamento e tokens SAS e exfiltrando dados com scripts personalizados em Python.
Recursos de gerenciamento de VMs no Azure, como VMAccess e Run Command, foram abusados para criar contas de administrador maliciosas, executar scripts remotos e roubar credenciais.
Nas fases finais do ataque, o Storm-2949 implantou a ferramenta de acesso remoto ScreenConnect em sistemas comprometidos, tentou desativar as proteções do Microsoft Defender e apagar evidências forenses.
Vale lembrar que a Microsoft usa o nome Storm como uma designação temporária para atividades de threat actor que ainda não foram classificadas, porque são novas, emergentes ou em desenvolvimento.
Para se defender dos ataques do Storm-2949, a Microsoft recomenda seguir práticas de reforço de segurança que incluem adotar o princípio do menor privilégio, habilitar políticas de acesso condicional, adicionar proteção de MFA para todos os usuários e garantir MFA resistente a phishing para usuários com funções privilegiadas, como administradores.
Para proteger recursos em cloud, a empresa orienta limitar permissões de RBAC no Azure, manter os logs do Azure Key Vault por até um ano, reduzir o acesso ao Key Vault, restringir o acesso público aos Key Vaults, usar opções de proteção de dados no Azure Storage e monitorar operações de alto risco de gerenciamento do Azure.
O relatório da Microsoft traz indicadores de comprometimento dos ataques observados, além de orientações extensas de mitigação e proteção.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...