Engenheiros sociais direcionados a funcionários com privilégios, como equipes de TI, obtiveram credenciais do Microsoft Entra ID para roubar dados de ambientes de produção do Azure e do Microsoft 365. A Microsoft identificou o grupo como Storm-2949, cujo objetivo, segundo a empresa, é “exfiltrar o máximo possível de dados confidenciais dos ativos de alto valor da organização-alvo”. Os ataques, publicados em relatório no dia 19 de maio, envolvem o abuso do fluxo de redefinição de senha por autoatendimento (SSPR).
Os invasores iniciam a redefinição de senha da conta de um funcionário e enganam a vítima para que aprove notificações de autenticação multifator (MFA). O criminoso se passa por suporte de TI que precisa verificar a conta com urgência. Após o engano, ele redefine a senha, remove os controles de MFA e registra seu próprio Microsoft Authenticator no dispositivo.
Acesso a aplicativos do Microsoft 365
De posse das contas, o grupo usou a API Microsoft Graph e scripts Python personalizados para enumerar usuários, funções, aplicativos e diretores de serviço. O objetivo era avaliar oportunidades de persistência. Em seguida, acessaram OneDrive e SharePoint em busca de arquivos de configuração de VPN e operações de TI que pudessem permitir movimento lateral da nuvem para a rede local.
“Em um caso, o Storm-2949 usou a interface web do OneDrive para baixar milhares de arquivos em uma única ação para sua própria infraestrutura”, afirmou a Microsoft. O relatório detalha que o padrão de roubo se repetiu em todas as contas comprometidas, provavelmente porque identidades diferentes tinham acesso a pastas e diretórios compartilhados distintos.
Pivô para o Azure
A Microsoft observou que o atacante comprometeu múltiplas identidades com funções RBAC personalizadas em várias assinaturas do Azure. Isso permitiu “descobrir e extrair os ativos mais sensíveis dentro do ambiente Azure da vítima, especificamente de assinaturas de produção”.
De posse das permissões RBAC privilegiadas, o grupo obteve credenciais para implantar FTP, Web Deploy e o console Kudu. Com isso, podia navegar pelo sistema de arquivos, verificar variáveis de ambiente e executar comandos remotamente no contexto do aplicativo. Os atacantes então migraram para o Azure Key Vault, onde modificaram configurações de acesso e roubaram dezenas de segredos, incluindo credenciais de banco de dados e strings de conexão.
Servidores SQL do Azure e contas de armazenamento também foram alvo, com alteração de regras de firewall e acesso, recuperação de chaves e tokens SAS, e exfiltração via scripts Python. Recursos de gerenciamento de VMs, como VMAccess e Run Command, foram abusados para criar contas de administrador falsas, executar scripts remotos e roubar credenciais.






