駭客Storm-2949接管雲端帳號濫用Azure權限滲透正式環境竊取資料

微軟揭露 Storm-2949 透過社交工程與自助密碼重設濫用接管 Microsoft Entra ID 帳號,並利用受害者既有 Azure RBAC 權限橫向存取雲端服務與正式環境資源。

重點

  • 攻擊入口:MFA 誘導核准、密碼重設、註冊攻擊者裝置上的 Microsoft Authenticator。
  • 雲端濫用:讀取 Azure App Service 發布設定檔、Key Vault secrets、Azure Storage SAS 權杖與帳號金鑰。
  • 資料外洩:修改 Azure SQL 與 Storage 存取設定後,以 Python 指令碼列舉與下載 Blob。
  • 持久化嘗試:新增應用程式身分憑證、建立 VM 本機管理員、安裝 ScreenConnect。

相關實體

  • storm-2949 — 攻擊者追蹤編號
  • microsoft — 揭露事件並提供 Azure/Microsoft 365 平臺

防護觀察

此事件顯示「身分即邊界」的雲端風險:一旦高價值雲端帳號遭接管,攻擊者可在不植入傳統惡意程式的情況下,利用合法權限完成資料讀取、設定修改與後續滲透。

來源文章