Storm-2949 атакува Microsoft 365 и Azure чрез легитимни инструменти

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Нова киберкампания, проследявана от Microsoft под името Storm-2949, показва колко опасни могат да бъдат атаките, извършвани чрез легитимни акаунти, административни функции и облачни услуги. Вместо да използват класически зловреден софтуер, нападателите се фокусират върху компрометиране на идентичности и злоупотреба с вградени инструменти в екосистемата на Microsoft 365 и Azure.

Според компанията, основната цел на групата е масово източване на чувствителни данни от високостойностни корпоративни среди.

Социално инженерство срещу администратори и ръководни служители

Атаките започват чрез социално инженерство срещу потребители с привилегирован достъп – ИТ персонал, администратори и членове на висшето ръководство. Нападателите използват схемата за Self-Service Password Reset (SSPR), за да инициират смяна на парола за конкретен акаунт.

След това жертвата е подмамвана да одобри MFA заявка, докато атакуващият се представя за служител от ИТ поддръжката, който изисква „спешна верификация“. След успешното потвърждение групата успява да:

  • смени паролата;
  • премахне MFA защитата;
  • регистрира собствено устройство с Microsoft Authenticator;
  • установи постоянен достъп до акаунта.

Този тип атаки показват ясно защо традиционният модел „влизане = доверие“ вече не е достатъчен за защита на облачните среди.

Използване на Microsoft Graph API и легитимни облачни услуги

След компрометиране на акаунтите Storm-2949 използва Microsoft Graph API и персонализирани Python скриптове за разузнаване в средата. Атакуващите извършват:

  • изброяване на потребители и роли;
  • анализ на приложения и service principals;
  • търсене на възможности за постоянство;
  • иденифициране на чувствителни ресурси.

Особен интерес представляват Microsoft OneDrive и Microsoft SharePoint, откъдето се изтеглят VPN конфигурации, ИТ документи и файлове, съдържащи информация за отдалечен достъп.

В един от случаите атакуващите са изтеглили хиляди файлове наведнъж чрез уеб интерфейса на OneDrive.

Пробив и в Azure инфраструктурата

Кампанията не спира до Microsoft 365. След получаване на привилегирован достъп групата се насочва към Microsoft Azure среди, включително:

  • виртуални машини;
  • storage акаунти;
  • Key Vault среди;
  • SQL бази данни;
  • App Services.

Нападателите злоупотребяват с Azure RBAC права, за да достигнат до чувствителни производствени среди и да извличат тайни, токени, ключове и connection strings.

Сред използваните техники са:

  • активиране на FTP и Web Deploy;
  • използване на Kudu конзолата;
  • промяна на firewall правила;
  • генериране на SAS токени;
  • извличане на storage ключове;
  • създаване на rogue администраторски акаунти чрез VMAccess;
  • изпълнение на отдалечени команди с Run Command.

Финален етап – постоянство и прикриване

В по-късните етапи на атаката Storm-2949 инсталира ScreenConnect за постоянен дистанционен достъп. Паралелно с това групата се опитва да:

  • деактивира защитите на Microsoft Defender;
  • изтрие следи и forensic данни;
  • запази дългосрочно присъствие в инфраструктурата.

Този модел на атака е поредното доказателство, че съвременните заплахи все по-често използват легитимни инструменти, валидни идентичности и стандартни административни функции, което значително затруднява традиционните решения за защита.

Zero Trust и поведенческият анализ стават критични

Случаят със Storm-2949 потвърждава тенденцията, че MFA само по себе си вече не е достатъчна защита. Организациите трябва да прилагат Zero Trust модел, при който достъпът се оценява непрекъснато според поведението, контекста и риска.

Сред ключовите мерки за защита са:

  • phishing-resistant MFA;
  • conditional access политики;
  • ограничаване на RBAC привилегиите;
  • мониторинг на Azure операции с висок риск;
  • сегментация на достъпа;
  • поведенчески анализ и откриване на аномалии;
  • продължителен logging на Key Vault активност.

Тук все по-важна роля играят MSSP доставчиците и XDR платформите, които могат да корелират сигнали между идентичности, облачни услуги, endpoint системи и мрежова активност. Именно подобен тип поведенчески анализ позволява откриване на злоупотреби с легитимни акаунти преди да се стигне до масово източване на данни или пълно компрометиране на инфраструктурата.

#Azure, # Microsoft 365, # Storm-2949, # Zero Trust, # кибератаки
По материали от Интернет

Подобни

Earth Lusca разширява арсенала си с Windows версии на SprySOCKS
17.06.2026
china
DragonForce използва Microsoft Teams инфраструктура за скрит контрол
17.06.2026
China_dragon
Китай използва malware срещу медицински изследователски организации
16.06.2026
spyware
Украинeц се призна за виновен за участие в операциите на Conti ransomware
15.06.2026
ransomware
Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер
14.06.2026
gettyimages-1355321121
ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft
14.06.2026
Oracle

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy