Microsoft 365 ve Azure üretim ortamlarını hedef alan bir tehdit aktörü, meşru uygulamaları ve yönetim özelliklerini kötüye kullanarak veri hırsızlığı gerçekleştiriyor. Microsoft tarafından Storm-2949 olarak takip edilen aktörün amacı, “hedef kuruluşun yüksek değerli varlıklarından mümkün olduğunca fazla hassas veriyi sızdırmak” olarak açıklandı. Saldırganlar, BT personeli veya üst düzey yöneticiler gibi ayrıcalıklı rollere sahip kullanıcıları hedef alarak sosyal mühendislik yöntemleriyle Microsoft Entra ID kimlik bilgilerini ele geçiriyor.

Self-Service Parola Sıfırlama Süreci MFA Atlatmak İçin Kullanılıyor

Microsoft, saldırganların Self-Service Parola Sıfırlama (SSPR) akışını kötüye kullandığına inanıyor. Bu yöntemde saldırgan, hedef çalışanın hesabı için bir parola sıfırlama işlemi başlatıyor ve ardından kurbanı çok faktörlü kimlik doğrulama (MFA) istemlerini onaylaması için kandırıyor. Storm-2949 Azure saldırısı kapsamında tuzağı daha inandırıcı hale getirmek için bilgisayar korsanı, acil hesap doğrulaması gerektiren bir BT destek çalışanı gibi davranıyor. Bu yöntemle saldırgan parolayı sıfırlıyor, MFA kontrollerini kaldırıyor ve kendi cihazına Microsoft Authenticator’ı kaydediyor.

Hesapları ele geçirdikten sonra Storm-2949, Microsoft Graph API ve özel Python betiklerini kullanarak kullanıcıları, rolleri, uygulamaları ve hizmet temsilcilerini enumerate ediyor. Her durumda uzun vadeli kalıcılık fırsatlarını değerlendiren saldırganlar daha sonra Microsoft 365 içinde OneDrive ve SharePoint’e erişiyor. Bu platformlarda VPN yapılandırmalarını ve BT operasyonel dosyalarını arayarak buluttan uç nokta ağına yanal hareket için gerekli uzaktan erişim detaylarını topluyor.

Ele Geçirilen Hesaplar Azure Altyapısına Sızmak İçin Kullanılıyor

Saldırganlar, OneDrive web arayüzünü kullanarak tek bir işlemde binlerce dosyayı kendi altyapılarına indiriyor. Microsoft’un aktardığına göre bu veri hırsızlığı modeli, ele geçirilen tüm kullanıcı hesaplarında tekrarlanıyor. Farklı kimliklerin farklı klasörlere ve paylaşılan dizinlere erişimi olduğu için saldırganlar bu yöntemle maksimum veriye ulaşmayı hedefliyor. Ardından Storm-2949, saldırıyı kurbanın Azure altyapısına, yani sanal makineler, depolama hesapları, anahtar kasaları, uygulama hizmetleri ve SQL veritabanlarına genişletiyor.

👉️ İlginizi Çekebilir: Windows 11 Sonunda Yeniden Boyutlandırılabilen Görev Çubuğu ve Başlat Menüsüne Kavuşuyor

Tehdit aktörü, birden fazla Azure aboneliğinde ayrıcalıklı özel Azure rol tabanlı erişim kontrolü (RBAC) rollerine sahip birden fazla kimliği ele geçiriyor. Bu sayede “kurbanın Azure ortamındaki en hassas varlıkları, özellikle de üretim tabanlı Azure aboneliklerini ortaya çıkarıp çıkarmayı” başarıyorlar. Microsoft 365 veri hırsızlığı yöntemi kullanan saldırganlar, ele geçirilen kullanıcının ayrıcalıklı Azure RBAC izinlerinden faydalanarak FTP, Web Deploy ve Azure App hizmetlerini yönetmek için Kudu konsolu dağıtmalarına olanak tanıyan kimlik bilgilerini elde ediyor.

Azure Anahtar Kasaları ve SQL Sunucuları Hedef Alınıyor

Bu noktada saldırgan, dosya sistemine göz atabiliyor, ortam değişkenlerini kontrol edebiliyor ve uygulama bağlamında uzaktan komut çalıştırabiliyor. Storm-2949 daha sonra Azure Anahtar Kasalarına yöneliyor, burada erişim ayarlarını değiştiriyor ve veritabanı kimlik bilgileri ile bağlantı dizileri dahil olmak üzere düzinelerce gizli anahtarı çalıyor. Saldırganlar ayrıca Azure SQL sunucularını ve Depolama hesaplarını hedef alarak güvenlik duvarı ve ağ erişim kurallarını değiştiriyor, depolama anahtarları ile SAS belirteçlerini alıyor ve özel Python betikleri kullanarak veri sızdırıyor.

Azure VM yönetim özellikleri olan VMAccess ve Run Command de kötüye kullanılarak sahte yönetici hesapları oluşturuluyor, uzaktan betikler çalıştırılıyor ve kimlik bilgileri çalınıyor. Saldırının sonraki aşamalarında Storm-2949, ele geçirilen sistemlere ScreenConnect uzaktan erişim aracını dağıtıyor, Microsoft Defender korumalarını devre dışı bırakmaya çalışıyor ve adli kanıtları silmek için işlemler gerçekleştiriyor. Microsoft, bu tür saldırılara karşı en az ayrıcalık ilkesinin benimsenmesini, koşullu erişim politikalarının etkinleştirilmesini ve yöneticiler gibi ayrıcalıklı rollere sahip kullanıcılar için kimlik avına dayanıklı MFA kullanılmasını öneriyor.