駭客Storm-2949接管雲端帳號,濫用Azure權限滲透正式環境竊取資料

來源: iThome | 作者: 李建興 | 日期: 2026-06-03 URL: https://www.ithome.com.tw/news/176337 Blog ID: 723

原文摘要

微軟揭露 Storm-2949 濫用雲端身分的攻擊事件。攻擊者疑似透過社交工程與自助密碼重設流程接管 Microsoft Entra ID 帳號,再濫用既有 Azure RBAC 權限存取 Microsoft 365、Azure App Service、Azure Key Vault、Azure SQL、Azure Storage 與 VM 等資源。

關鍵手法包括誘導 MFA 核准、重設密碼、註冊攻擊者的 Microsoft Authenticator、下載 App Service 發布設定檔、讀取 Key Vault 祕密、修改 SQL 防火牆與 Storage 網路設定、取得 SAS 權杖與帳號金鑰,並以 Python 指令碼下載大量 Blob。攻擊者也嘗試新增應用程式身分憑證、建立 VM 本機管理員、濫用受管識別,並安裝 ScreenConnect 進行後續操作。

主要概念

  • 雲端身分接管可直接擴大為跨服務雲端入侵。
  • Azure RBAC、Key Vault、App Service、Storage、SQL 與 VM 權限連動會放大單一帳號遭接管的影響。
  • 防護重點包括抗釣魚 MFA、條件式存取、SSPR 流程檢視、特權帳號與 Key Vault 權限稽核,以及跨身分、雲端與端點記錄關聯分析。

衍生頁面