Un groupe de pirates informatiques cible les environnements de production de Microsoft 365 et d’Azure. Il subtilise des données en détournant des applications légitimes et des fonctionnalités d’administration.
Microsoft suit cet acteur sous le nom de Storm-2949. L’entreprise déclare que l’objectif de ces attaques est de « s’emparer du plus grand volume possible de données sensibles provenant des ressources stratégiques d’une organisation cible ».
Storm-2949 a recours à l’ingénierie sociale pour viser des utilisateurs disposant de rôles privilégiés, comme le personnel informatique ou des cadres dirigeants. L’objectif est d’obtenir leurs identifiants Microsoft Entra ID et d’accéder aux données des applications Microsoft 365.
Microsoft pense que le groupe a exploité le processus de Self-Service Password Reset. Cette méthode consiste pour un attaquant à déclencher une réinitialisation de mot de passe pour le compte d’un employé ciblé. Il trompe ensuite la victime pour qu’elle valide les notifications d’authentification multifacteur.
Pour rendre leur subterfuge plus crédible, les pirates se font passer pour un employé du support informatique qui demande une vérification urgente du compte.
Ils ont ensuite réinitialisé le mot de passe, désactivé les contrôles d’authentification multifacteur et enregistré l’application Microsoft Authenticator sur leur propre appareil.
Ciblage des applications Microsoft 365
Après le détournement des comptes, Storm-2949 a utilisé l’API Microsoft Graph et des scripts Python personnalisés pour dresser la liste des utilisateurs, des rôles, des applications et des principaux de service. Ils ont aussi évalué les possibilités de maintenir un accès persistant dans chaque cas.
Ils ont ensuite accédé à OneDrive et à SharePoint au sein de Microsoft 365. Ils ont cherché des configurations VPN et des fichiers opérationnels informatiques. Leur but était de trouver des détails d’accès à distance qui faciliteraient un mouvement latéral du cloud vers le réseau interne de l’entreprise.
Dans un cas, Storm-2949 a utilisé l’interface web de OneDrive pour télécharger des milliers de fichiers en une seule action vers sa propre infrastructure.
Ce schéma de vol de données s’est répété pour tous les comptes utilisateurs compromis. Cela est probablement dû au fait que différentes identités avaient accès à des dossiers et des répertoires partagés distincts.
Storm-2949 a étendu l’attaque à l’infrastructure Azure de la victime. Cela incluait les machines virtuelles, les comptes de stockage, les coffres de clés, les services d’application et les bases de données SQL.
Transition vers Azure
Selon Microsoft, les attaquants ont compromis plusieurs identités. Ces dernières disposaient de rôles personnalisés privilégiés basés sur le contrôle d’accès en fonction du rôle sur plusieurs abonnements Azure.
Cela leur a permis de découvrir et d’extraire les ressources les plus sensibles au sein de l’environnement Azure de la victime, en particulier à partir des abonnements Azure de production.
En exploitant les autorisations RBAC Azure privilégiées de l’utilisateur compromis, Storm-2949 a pu obtenir des identifiants. Ces identifiants leur ont donné la possibilité de déployer FTP, Web Deploy et la console Kudu pour gérer les services d’application Azure.
À ce stade, le groupe pouvait parcourir le système de fichiers, vérifier les variables d’environnement et exécuter des commandes à distance dans le contexte de l’application.
Storm-2949 s’est ensuite tourné vers les coffres de clés Azure Key Vault. Il a modifié les paramètres d’accès et dérobé des dizaines de secrets, comme des identifiants de base de données et des chaînes de connexion.
Les attaquants ont aussi visé les serveurs Azure SQL et les comptes de stockage. Ils ont modifié les règles du pare-feu et d’accès réseau, récupéré des clés de stockage et des jetons SAS, puis exfiltré des données à l’aide de scripts Python personnalisés.
Les fonctionnalités de gestion des machines virtuelles Azure, telles que VMAccess et Run Command, ont été détournées. Elles ont servi à créer des comptes administrateurs frauduleux, à exécuter des scripts à distance et à voler des identifiants.
Dans les phases ultérieures de l’attaque, Storm-2949 a déployé l’outil d’accès à distance ScreenConnect sur les systèmes compromis. Il a tenté de désactiver les protections Microsoft Defender et d’effacer les preuves médico-légales.
Source : Microsoft
Il faut préciser que Microsoft utilise le préfixe « Storm » comme désignation temporaire pour une activité malveillante. Cette désignation est employée quand la menace n’est pas encore classifiée, car elle est nouvelle, émergente ou en développement.
Pour se défendre contre les attaques de Storm-2949, Microsoft recommande de suivre les bonnes pratiques de durcissement de la sécurité. Cela inclut l’adoption du principe du moindre privilège, l’activation de stratégies d’accès conditionnel, l’ajout d’une protection par authentification multifacteur pour tous les utilisateurs. Il faut aussi garantir une authentification multifacteur résistante au hameçonnage pour les utilisateurs avec des rôles privilégiés, comme les administrateurs.
Pour protéger les ressources cloud, l’entreprise conseille de limiter les autorisations RBAC Azure, de conserver les journaux d’Azure Key Vault jusqu’à un an, et de réduire l’accès aux coffres de clés. Elle préconise aussi de restreindre l’accès public aux coffres Key Vault, d’utiliser les options de protection des données dans le stockage Azure, et de surveiller les opérations de gestion Azure à haut risque.
Le rapport de Microsoft fournit des indicateurs de compromission pour les attaques observées, ainsi qu’un guide complet d’atténuation et de protection.