Storm‑2949: как компрометация одной учетной записи привела к облачному взлому Microsoft 365 и Azure

• учетные записи пользователей
• приложения
• роли и атрибуты доступа

Атакующий искал аккаунты с определёнными именами и признаками привилегий, чтобы определить потенциальные цели для дальнейшего повышения прав.

Этот этап позволил злоумышленнику построить карту облачной инфраструктуры организации.

Злоупотребление Self‑Service Password Reset

Ключевым элементом атаки стало использование Self‑Service Password Reset (SSPR) — функции, позволяющей пользователям самостоятельно восстанавливать пароль.

Используя механизмы восстановления учетной записи, злоумышленник смог:

• закрепить доступ после первоначального захвата
• повысить устойчивость доступа
• подготовить почву для расширения привилегий внутри арендатора (tenant)

Проблема в том, что SSPR — легитимная функция. Если атакующий уже получил доступ к учетной записи или связанным методам восстановления, злоупотребление этой системой может выглядеть как обычная активность пользователя.

Повышение привилегий через Graph API и Azure RBAC

Следующий этап атаки происходил через контрольную плоскость облака — систему управления правами и ресурсами.

Злоумышленник использовал:

• Microsoft Graph API для взаимодействия с объектами каталога
• Azure RBAC (role‑based access control) для анализа ролей и разрешений

Обнаружив аккаунты с повышенными привилегиями, атакующий смог расширить собственные возможности и получить более широкий административный доступ в облачной инфраструктуре.

Такая техника отличается от классических атак: вместо эксплуатации уязвимостей используются существующие механизмы управления доступом.

Доступ к критическим ресурсам Azure

После получения повышенных прав злоумышленник получил доступ к ряду ключевых сервисов Azure, включая:

• Azure App Services
• Azure Key Vault
• Azure SQL Database
• виртуальные машины (VM)

Эти ресурсы особенно ценны для атакующих, поскольку могут содержать:

• секреты и ключи доступа
• учетные данные приложений
• операционные данные компании
• рабочие нагрузки производственных систем.

Если права доступа настроены слишком широко, компрометация одной учетной записи может привести к доступу к значительной части облачной инфраструктуры.

Маскировка атаки с помощью легитимных инструментов

Еще одна причина, по которой активность Storm‑2949 было сложно обнаружить, — использование встроенных административных инструментов Azure.

Microsoft зафиксировала применение таких средств, как:

• VMAccess
• Run Command
• PowerShell

Эти инструменты обычно применяются администраторами для управления инфраструктурой. Когда злоумышленники используют их вместо вредоносных программ, действия могут выглядеть как обычная операционная работа.

Подобная тактика часто называется living off the land — использование легитимных системных инструментов для атаки.

Многодневная кража данных

Заключительной фазой стала эксфильтрация данных, продолжавшаяся несколько дней. За это время атакующий извлекал конфиденциальную информацию из облачной среды.

Длительность операции указывает на то, что злоумышленник смог:

• закрепиться в инфраструктуре
• не сразу вызвать тревогу у защитных систем
• постепенно извлекать данные.

Почему такие атаки трудно обнаружить

Storm‑2949 отражает тенденцию современных атак на облака: главной целью становится идентификация, а не программное обеспечение.

Такие операции сложно выявить по нескольким причинам:

• используются действительные учетные данные
• активность проходит через официальные API
• права повышаются через штатные механизмы RBAC
• применяются легитимные инструменты администрирования

В результате традиционные системы безопасности, ориентированные на вредоносное ПО или поведение на конечных устройствах, могут не заметить атаку.

Рекомендации Microsoft по защите

После раскрытия атаки Microsoft рекомендовала организациям усилить защиту облачных идентификаций и контроль активности в среде Azure и Microsoft 365.

Усилить защиту учетных записей
Необходимо минимизировать риск того, что компрометация одного пользователя приведет к взлому всего арендатора.

Безопасно настроить Self‑Service Password Reset
Особенно важно внимательно проверять параметры восстановления пароля для привилегированных аккаунтов.

Обязательная многофакторная аутентификация (MFA)
MFA и политики условного доступа значительно снижают ценность украденных учетных данных.

Мониторинг активности Microsoft Graph API
Следует отслеживать массовые запросы к каталогу и автоматизированные операции перечисления объектов.

Аудит ролей Azure RBAC
Организациям рекомендуется регулярно проверять назначения ролей и придерживаться принципа минимальных привилегий.

Контроль административных инструментов
Нужно настроить оповещения о необычном использовании VMAccess, Run Command или PowerShell.

Защита критических ресурсов Azure
Доступ к таким сервисам, как Key Vault, базы данных и производственные виртуальные машины, должен строго контролироваться.

Главный урок атаки Storm‑2949

Инцидент Storm‑2949 показал важный сдвиг в киберугрозах: основной поверхностью атаки в облаке стала цифровая идентичность.

Если злоумышленник получает контроль над учетной записью, он может использовать API, системы разрешений и административные инструменты самой платформы для перемещения внутри инфраструктуры — часто без установки вредоносного ПО.

Для эффективной защиты организациям требуется наблюдаемость не только на уровне устройств, но и на уровне поведения учетных записей, API‑запросов, ролей доступа и действий в контрольной плоскости облака.