駭客Storm-2949接管雲端帳號濫用Azure權限滲透正式環境竊取資料
微軟揭露 Storm-2949 透過社交工程與自助密碼重設濫用接管 Microsoft Entra ID 帳號,並利用受害者既有 Azure RBAC 權限橫向存取雲端服務與正式環境資源。
重點
- 攻擊入口:MFA 誘導核准、密碼重設、註冊攻擊者裝置上的 Microsoft Authenticator。
- 雲端濫用:讀取 Azure App Service 發布設定檔、Key Vault secrets、Azure Storage SAS 權杖與帳號金鑰。
- 資料外洩:修改 Azure SQL 與 Storage 存取設定後,以 Python 指令碼列舉與下載 Blob。
- 持久化嘗試:新增應用程式身分憑證、建立 VM 本機管理員、安裝 ScreenConnect。
相關實體
- storm-2949 — 攻擊者追蹤編號
- microsoft — 揭露事件並提供 Azure/Microsoft 365 平臺
防護觀察
此事件顯示「身分即邊界」的雲端風險:一旦高價值雲端帳號遭接管,攻擊者可在不植入傳統惡意程式的情況下,利用合法權限完成資料讀取、設定修改與後續滲透。