Storm‑2949: Từ yêu cầu đặt lại mật khẩu đến vụ xâm nhập toàn bộ môi trường đám mây

Điểm đáng chú ý là nhóm này hầu như không dùng malware. Thay vào đó, họ chiếm quyền tài khoản người dùng và lạm dụng các chức năng quản trị hợp pháp trong Microsoft 365 và Azure.

Khi đã kiểm soát được một tài khoản — đặc biệt là tài khoản có quyền cao — kẻ tấn công có thể sử dụng các quy trình quản trị bình thường để mở rộng quyền truy cập sang nhiều dịch vụ khác trong hệ thống đám mây của tổ chức.

Điều này khiến hoạt động của chúng trông giống như hành vi hợp pháp và khó bị phát hiện bởi các hệ thống bảo mật truyền thống.

Vai trò của Self‑Service Password Reset (SSPR)

Một mắt xích quan trọng trong chuỗi tấn công là Self‑Service Password Reset (SSPR) của Microsoft Entra. Đây là tính năng cho phép người dùng tự đặt lại mật khẩu mà không cần liên hệ bộ phận IT.

Storm‑2949 đã khai thác quy trình này thông qua social engineering:

• Kẻ tấn công giả danh nhân viên hỗ trợ IT hoặc đội bảo mật nội bộ.
• Chúng gọi điện hoặc liên hệ trực tiếp với nhân viên mục tiêu.
• Nạn nhân được yêu cầu xác nhận một yêu cầu "xác minh" có vẻ bình thường.

Thực tế, đó là yêu cầu phê duyệt MFA phát sinh từ quá trình đặt lại mật khẩu.

Khi nạn nhân chấp thuận yêu cầu này, kẻ tấn công có thể tiếp tục quá trình đặt lại mật khẩu.

Sau khi chiếm quyền tài khoản, chúng có thể:

• Đặt lại mật khẩu của người dùng
• Xóa các phương thức xác thực trước đó của chủ tài khoản
• Đăng ký thiết bị xác thực mới của riêng mình (ví dụ Microsoft Authenticator)

Điều này khóa người dùng thật ra khỏi tài khoản, trong khi kẻ tấn công có quyền truy cập lâu dài với MFA hợp lệ.

Từ một tài khoản bị chiếm quyền đến xâm nhập toàn bộ đám mây

Sau khi kiểm soát được danh tính người dùng, Storm‑2949 tiếp tục di chuyển ngang (lateral movement) trong hệ thống đám mây.

Các tài khoản bị nhắm mục tiêu thường thuộc về những người có quyền cao như nhân viên IT hoặc lãnh đạo cấp cao, nên quyền truy cập ban đầu đã rất rộng.

Những mục tiêu dữ liệu bao gồm:

• Dữ liệu Microsoft 365 như SharePoint và OneDrive
• Các môi trường production chạy trên Azure
• Tài khoản lưu trữ và cơ sở dữ liệu trên đám mây
• Các bí mật hệ thống trong Azure Key Vault

Chiến dịch này cho thấy một thực tế quan trọng trong bảo mật đám mây: danh tính chính là "bảng điều khiển" của hệ thống. Nếu một danh tính có quyền cao bị chiếm quyền, kẻ tấn công có thể truy cập nhiều dịch vụ liên kết mà không cần khai thác lỗ hổng phần mềm.

Vì sao Microsoft loại bỏ xác thực bằng SMS

Song song với các sự cố như Storm‑2949, Microsoft cũng thông báo sẽ loại bỏ dần mã xác thực SMS cho các tài khoản Microsoft cá nhân.

Theo Microsoft, xác thực bằng SMS đã trở thành nguồn gian lận phổ biến và tồn tại nhiều điểm yếu bảo mật.

Các rủi ro phổ biến gồm:

• Tấn công SIM‑swap, chuyển số điện thoại của nạn nhân sang SIM của kẻ tấn công
• Chặn hoặc đánh cắp tin nhắn trong hạ tầng viễn thông
• Lừa đảo để người dùng tiết lộ mã xác minh

Vì mã SMS có thể bị đánh cắp từ xa, Microsoft coi đây là phương thức yếu hơn so với các hệ thống xác thực hiện đại.

Do đó, công ty đang khuyến khích chuyển sang:

• Passkey
• Ứng dụng xác thực (Authenticator)
• Email phụ đã xác minh

Những phương thức này sử dụng khóa mật mã gắn với thiết bị hoặc quy trình xác thực an toàn hơn.

Các biện pháp bảo mật Microsoft khuyến nghị

Storm‑2949 cho thấy các cuộc tấn công dựa vào danh tính có thể vượt qua nhiều lớp phòng thủ truyền thống. Microsoft khuyến nghị một số biện pháp quan trọng.

1. Sử dụng MFA chống phishing

Các tổ chức nên triển khai các phương thức MFA khó bị lừa đảo, chẳng hạn passkey hoặc thiết bị phần cứng theo chuẩn xác thực chống phishing.

2. Áp dụng nguyên tắc quyền tối thiểu (Least‑Privilege)

Kiểm soát truy cập dựa trên vai trò (RBAC) cần đảm bảo mỗi tài khoản chỉ có quyền cần thiết cho công việc. Điều này hạn chế thiệt hại nếu một tài khoản bị xâm nhập.

3. Xem quy trình đặt lại mật khẩu là rủi ro cao

Các cơ chế khôi phục tài khoản như SSPR cần được giám sát chặt chẽ, đặc biệt đối với tài khoản quản trị hoặc có quyền cao.

4. Giám sát hoạt động danh tính và control‑plane của cloud

Tổ chức nên ghi log và theo dõi:

• Sự kiện đăng nhập và xác thực
• Hoạt động đặt lại mật khẩu
• Truy cập dữ liệu Microsoft 365
• Các thao tác quản trị trong Azure

Khả năng quan sát này giúp đội bảo mật phát hiện sớm hành vi quản trị bất thường trong quá trình tấn công.

Bài học lớn: danh tính là bề mặt tấn công mới

Storm‑2949 cho thấy một thay đổi lớn trong chiến lược tấn công mạng hiện đại. Thay vì khai thác lỗi phần mềm hay phát tán malware, kẻ tấn công ngày càng tập trung vào hệ thống danh tính và quy trình khôi phục tài khoản.

Chỉ cần một tài khoản bị chiếm quyền — đặc biệt là tài khoản có đặc quyền — cũng có thể trở thành cánh cửa dẫn vào toàn bộ hệ sinh thái đám mây của tổ chức. Vì vậy, việc tăng cường xác thực, giảm quyền truy cập và giám sát hoạt động danh tính đang trở thành tuyến phòng thủ quan trọng nhất trong các môi trường cloud‑first.