Een bedreigingsactor, door Microsoft aangeduid als Storm-2949, voert gerichte aanvallen uit op Microsoft 365- en Azure-omgevingen waarbij legitieme applicaties en beheerfuncties worden misbruikt om gevoelige data te stelen. Het doel van deze aanvallen is het exfiltreren van zoveel mogelijk waardevolle informatie uit de systemen van de getroffen organisaties.

Storm-2949 maakt gebruik van social engineering om gebruikers met verhoogde rechten, zoals IT-medewerkers en leden van het senior management, te misleiden en hun Microsoft Entra ID-gegevens te bemachtigen. Hierbij wordt het Self-Service Password Reset (SSPR)-proces misbruikt: de aanvaller start een wachtwoordreset voor het account van het slachtoffer en overtuigt deze vervolgens om multi-factor authenticatie (MFA) goed te keuren. De hacker doet zich voor als IT-supportmedewerker die dringend verificatie nodig heeft, waarna het wachtwoord wordt gereset, MFA-instellingen worden verwijderd en Microsoft Authenticator wordt geregistreerd op het apparaat van de aanvaller.

Na het kapen van de accounts gebruikt Storm-2949 de Microsoft Graph API en aangepaste Python-scripts om gebruikers, rollen, applicaties en serviceprincipals te inventariseren en te beoordelen waar langdurige toegang kan worden verkregen. Vervolgens wordt toegang gezocht tot OneDrive en SharePoint, waar onder andere VPN-configuraties en IT-documentatie worden doorzocht om laterale beweging binnen het netwerk mogelijk te maken. Microsoft meldt dat in één geval duizenden bestanden via de OneDrive-webinterface in één keer werden gedownload naar de infrastructuur van de aanvaller. Dit patroon werd herhaald bij alle gecompromitteerde accounts, omdat verschillende accounts toegang hadden tot verschillende mappen en gedeelde directories.

De aanval werd uitgebreid naar de Azure-infrastructuur van het slachtoffer, waaronder virtuele machines, opslagaccounts, key vaults, app services en SQL-databases. Door het compromitteren van meerdere identiteiten met aangepaste Azure RBAC-rollen met verhoogde rechten, kon Storm-2949 de meest gevoelige assets binnen de productie-omgevingen van Azure ontdekken en exfiltreren. Met de verkregen rechten werden onder meer FTP, Web Deploy en de Kudu-console ingezet om bestanden te beheren, omgevingsvariabelen te bekijken en commando’s op afstand uit te voeren binnen Azure App Services.

Daarnaast werden Azure Key Vaults aangevallen, waarbij toegang werd aangepast en tientallen geheimen, zoals database-credentials en connectiestrings, werden gestolen. Ook Azure SQL-servers en opslagaccounts werden getroffen door firewall- en netwerkregels te wijzigen, opslagkeys en SAS-tokens te bemachtigen en data te exfiltreren met behulp van aangepaste scripts. Functies voor het beheer van Azure VM’s, zoals VMAccess en Run Command, werden misbruikt om kwaadaardige beheerdersaccounts aan te maken, remote scripts uit te voeren en credentials te stelen. In de laatste fase van de aanval werd de ScreenConnect remote access tool geïnstalleerd, werden Microsoft Defender-beschermingen geprobeerd uit te schakelen en werd forensisch bewijs gewist.

Microsoft gebruikt de naam Storm-2949 als tijdelijke aanduiding voor deze nieuwe en zich ontwikkelende dreiging. Om dergelijke aanvallen tegen te gaan, adviseert Microsoft het toepassen van security hardening en best practices, waaronder het principe van minste privilege en het inschakelen van voorwaardelijke toegang. Meer details zijn te vinden in het security blog van Microsoft.