Storm‑2949: Khi chỉ một danh tính bị chiếm quyền có thể làm lộ cả hệ sinh thái đám mây

Các truy vấn này tìm kiếm tài khoản dựa trên mẫu tên hoặc thuộc tính vai trò, giúp kẻ tấn công nhanh chóng xác định những mục tiêu có giá trị cao trong hệ thống.

Lạm dụng Self‑Service Password Reset để duy trì truy cập

Một kỹ thuật quan trọng trong cuộc tấn công là lạm dụng Self‑Service Password Reset (SSPR) — tính năng cho phép người dùng tự đặt lại mật khẩu trong Microsoft Entra ID.

Sau khi kiểm soát tài khoản ban đầu, kẻ tấn công đã khai thác các quy trình khôi phục danh tính này để:

• Duy trì quyền truy cập lâu dài
• Tăng độ ổn định của điểm xâm nhập ban đầu

Vì SSPR là một tính năng hợp pháp phục vụ hỗ trợ người dùng, việc lạm dụng nó thường trông giống hoạt động đăng nhập bình thường, đặc biệt nếu kẻ tấn công đã có thông tin xác thực hợp lệ.

Leo thang đặc quyền qua Graph API và Azure RBAC

Sau khi xác định được các tài khoản và dịch vụ quan trọng, kẻ tấn công tiến hành leo thang đặc quyền trong control plane của cloud thay vì khai thác lỗ hổng hệ thống.

Hai cơ chế chính được sử dụng là:

• Microsoft Graph API để truy vấn và thao tác với các đối tượng trong directory
• Azure RBAC (Role‑Based Access Control) để mở rộng quyền truy cập tài nguyên

Bằng cách xác định các vai trò có quyền cao, kẻ tấn công có thể mở rộng khả năng quản trị trên nhiều dịch vụ cloud khác nhau.

Truy cập vào các tài nguyên Azure quan trọng

Khi đạt được quyền cao hơn, Storm‑2949 đã truy cập nhiều tài nguyên trong Azure, bao gồm:

• App Services
• Azure Key Vaults
• SQL Databases
• Virtual Machines

Những dịch vụ này thường chứa bí mật ứng dụng, khóa mã hóa, dữ liệu vận hành hoặc hệ thống sản xuất, nên việc truy cập vào chúng có thể mở đường cho các bước tấn công sâu hơn.

Ẩn mình bằng công cụ quản trị hợp pháp

Một trong những lý do khiến hoạt động khó phát hiện là kẻ tấn công không cài malware.

Thay vào đó, chúng dùng chính các công cụ quản trị Azure hợp lệ như:

• VMAccess
• Run Command
• PowerShell

Những công cụ này vốn được quản trị viên sử dụng hàng ngày. Vì vậy trong log hệ thống, các hành động độc hại có thể trông giống thao tác vận hành bình thường.

Đánh cắp dữ liệu kéo dài nhiều ngày

Cuộc xâm nhập cuối cùng dẫn đến việc trích xuất dữ liệu nhạy cảm trong nhiều ngày liên tiếp từ môi trường cloud bị xâm nhập.

Khoảng thời gian dài này cho thấy kẻ tấn công đã duy trì được quyền truy cập và hoạt động trong hệ thống mà không bị phát hiện ngay lập tức.

Vì sao các cuộc tấn công dựa trên danh tính ngày càng khó phát hiện

Storm‑2949 phản ánh xu hướng mới trong an ninh cloud: tấn công vào danh tính (identity) thay vì phần mềm.

Những cuộc tấn công kiểu này thường khó phát hiện vì:

• sử dụng thông tin đăng nhập hợp lệ
• khai thác API chính thức của nền tảng
• leo thang quyền qua hệ thống phân quyền hợp pháp
• sử dụng công cụ quản trị có sẵn

Khi mọi hành động đều diễn ra bên trong các dịch vụ đáng tin cậy, các công cụ bảo mật truyền thống trên endpoint có thể không thấy dấu hiệu malware nào.

Khuyến nghị bảo mật từ Microsoft

Microsoft khuyến nghị các tổ chức tăng cường bảo vệ hệ thống danh tính và giám sát hoạt động trên control plane của cloud để giảm rủi ro từ các cuộc tấn công tương tự.

Một số biện pháp quan trọng gồm:

Tăng cường bảo vệ danh tính
Đảm bảo việc chiếm quyền một tài khoản không thể dẫn tới việc kiểm soát toàn bộ tenant.

Kiểm tra cấu hình Self‑Service Password Reset
Đặc biệt với các tài khoản có đặc quyền, cần đảm bảo quy trình khôi phục không thể bị lạm dụng.

Áp dụng MFA và Conditional Access
Xác thực đa yếu tố và chính sách truy cập theo ngữ cảnh giúp giảm giá trị của thông tin đăng nhập bị đánh cắp.

Giám sát hoạt động Microsoft Graph API
Phát hiện các mẫu truy vấn directory bất thường hoặc tự động hóa quy mô lớn có thể là dấu hiệu reconnaissance trong tenant.

Rà soát quyền Azure RBAC
Thực thi nguyên tắc least privilege để giảm khả năng leo thang đặc quyền.

Theo dõi việc sử dụng công cụ quản trị
Thiết lập cảnh báo cho các công cụ như VMAccess, Run Command hoặc PowerShell nếu chúng được dùng trong bối cảnh bất thường.

Bảo vệ các tài nguyên Azure nhạy cảm
Các dịch vụ như Key Vault, cơ sở dữ liệu và máy ảo sản xuất cần kiểm soát truy cập chặt chẽ và giám sát liên tục.

Bài học lớn từ vụ Storm‑2949

Vụ việc cho thấy trong môi trường cloud hiện đại, danh tính chính là bề mặt tấn công quan trọng nhất. Khi kẻ tấn công kiểm soát được một tài khoản, họ có thể sử dụng API, hệ thống phân quyền và công cụ quản trị hợp lệ để di chuyển trong hạ tầng mà không cần cài đặt malware.

Điều này đồng nghĩa với việc phòng thủ cloud ngày nay phải tập trung nhiều hơn vào hành vi danh tính, hoạt động API, phân quyền và control‑plane telemetry trên toàn bộ tenant, thay vì chỉ dựa vào bảo mật endpoint truyền thống.