Злоумышленники начали использовать опцию автосброса паролей для кражи данных в Azure
habr.comЗлоумышленник, атакующий производственные среды Microsoft 365 и Azure, похищает данные с помощью атак, использующих уязвимости в легитимных приложениях и функциях администрирования.Microsoft отслеживает этого злоумышленника как Storm-2949 и заявляет, что цель атак — «извлечь как можно больше конфиденциальных данных из ценных активов целевой организации».Storm-2949 использовал методы социальной инженерии для атаки на пользователей с привилегированными ролями, таких как IT-персонал или члены высшего руководства, и получения их учётных данных Microsoft Entra ID для доступа к данным в приложениях Microsoft 365.Microsoft считает, что злоумышленник злоупотребил процедурой самостоятельного сброса пароля (SSPR), в рамках которой он инициирует сброс пароля для учётной записи целевого сотрудника, а затем обманом заставляет жертву подтвердить запросы многофакторной аутентификации (MFA).Чтобы сделать обман более убедительным, хакер выдаёт себя за сотрудника IT-поддержки, которому требуется срочная проверка учётной записи.
Затем он сбрасывает пароль, отключает многофакторную аутентификацию и регистрирует Microsoft Authenticator на своем устройстве.После взлома учётных записей Storm-2949 использует API Microsoft Graph и пользовательские скрипты Python для перечисления пользователей, ролей, приложений и субъектов служб, а также для оценки возможностей долговременного сохранения данных в каждом случае.Затем хакер получает доступ к OneDrive и SharePoint в Microsoft 365, ища конфигурации VPN и операционные файлы IT, а также информацию об удалённом доступе, которая могла бы помочь в перемещении данных из облака в сеть конечных устройств.«В одном случае Storm-2949 использовал веб-интерфейс OneDrive для загрузки тысяч файлов за одно действие
