ผู้โจมตีได้มุ่งเป้าโจมตีระบบ Production environments ของ Microsoft 365 และ Azure โดยกำลังขโมยข้อมูลผ่านการโจมตีในรูปแบบแอปพลิเคชัน และฟีเจอร์ administration ที่ถูกต้องตามปกติ
Microsoft ได้ติดตามกลุ่มผู้โจมตีนี้ในชื่อ Storm-2949 โดยจุดประสงค์ของการโจมตีคือเพื่อขโมยข้อมูลสำคัญ และข้อมูลที่มีมูลค่าสูงขององค์กรให้ได้มากที่สุดเท่าที่จะทำได้
กลุ่ม Storm-2949 ได้ใช้เทคนิค social engineering เพื่อมุ่งเป้าไปยังกลุ่มผู้ใช้งานที่ได้รับสิทธิ์สูง เช่น บุคลากรด้านไอที หรือผู้บริหารระดับสูง เพื่อหลอกขโมยข้อมูล Credentials ของ Microsoft Entra ID และใช้ในการเข้าถึงข้อมูลในแอปพลิเคชันต่าง ๆ ของ Microsoft 365
Microsoft เชื่อว่าผู้โจมตีได้ใช้ประโยชน์จากกระบวนการกู้คืนรหัสผ่าน (Self-Service Password Reset หรือ SSPR) โดยผู้โจมตีจะเริ่มขั้นตอนการรีเซ็ตรหัสผ่านสำหรับบัญชีของพนักงานที่เป็นเป้าหมาย จากนั้นจะหลอกให้ผู้ใช้งาน กดอนุมัติคำขอการยืนยันตัวตนแบบ MFA
เพื่อให้การหลอกลวงดูน่าเชื่อถือยิ่งขึ้น ผู้โจมตีจะปลอมป็นพนักงานด้านไอทีที่ต้องการตรวจสอบบัญชีอย่างเร่งด่วน
จากนั้นแฮ็กเกอร์ได้รีเซ็ตรหัสผ่าน ลบการควบคุม MFA ออก และลงทะเบียน Microsoft Authenticator บนอุปกรณ์ของตนแทน
การมุ่งเป้าโจมตีแอปพลิเคชัน Microsoft 365
หลังจากยึดบัญชีได้สำเร็จ กลุ่ม Storm-2949 ได้ใช้ Microsoft Graph API และสคริปต์ Python ที่พัฒนาขึ้นเอง เพื่อตรวจสอบ user, roles, applications และ service principals รวมไปถึงประเมินโอกาสในการแฝงตัวอยู่ในระบบระยะยาว
จากนั้นผู้โจมตีจะเข้าถึง OneDrive และ SharePoint ใน Microsoft 365 เพื่อค้นหาไฟล์การตั้งค่า VPN และไฟล์การดำเนินงานด้านไอที เพื่อดูข้อมูลการ remote access ที่อาจช่วยในการ lateral movement จากระบบคลาวด์ไปยังเครือข่ายของเหยื่อ
Microsoft ระบุว่า Storm-2949 ได้ใช้เว็บอินเทอร์เฟซของ OneDrive เพื่อดาวน์โหลดไฟล์จำนวนหลายพันไฟล์ไปยัง infrastructure ของตนเอง
รูปแบบการขโมยข้อมูลนี้เกิดขึ้นซ้ำ ๆ กับบัญชีผู้ใช้ที่ถูกโจมตีทั้งหมด น่าจะเป็นเพราะบัญชีผู้ใช้แต่ละบัญชีมีสิทธิ์เข้าถึงโฟลเดอร์ และไดเรกทอรีที่แชร์ร่วมกัน แต่แตกต่างกันออกไป
กลุ่ม Storm-2949 ได้ขยายการโจมตีไปยัง Azure infrastructure, virtual machines, storage accounts, key vaults, app services และฐานข้อมูล SQL
การเปลี่ยนเป้าหมายไปที่ Azure
ข้อมูลจาก Microsoft ระบุว่า ผู้โจมตีได้โจมตีบัญชีผู้ใช้หลายบัญชีที่มีสิทธิ์สูงในรูปแบบ custom Azure role-based access control หรือ RBAC ในการสมัครใช้งานแบบ Azure subscriptions หลายรายการ
ซึ่งทำให้ผู้โจมตีสามารถค้นหา และขโมยข้อมูลสำคัญใน Azure environment ของผู้ใช้งานได้ โดยเฉพาะบนระบบ Azure subscriptions ที่ใช้ในการดำเนินงานจริง
โดยการใช้ประโยชน์จากสิทธิ์การเข้าถึงระดับสูงของ Azure RBAC ของผู้ใช้ที่ถูกโจมตีจากกลุ่ม Storm-2949 ส่งผลให้สามารถเข้าถึงข้อมูล credentials ที่ช่วยให้สามารถใช้งาน FTP, Web Deploy และคอนโซล Kudu เพื่อจัดการ Service บน Azure App Services ได้
จากนั้น ผู้โจมตีจะสามารถเรียกดูระบบไฟล์ ตรวจสอบ environment variables และสั่งรันคำสั่งจากระยะไกล ภายใต้การทำงานของแอปพลิเคชันนั้น ๆ ได้
ต่อจากนั้นกลุ่ม Storm-2949 ได้เปลี่ยนไปโจมตี Azure Key Vaults โดยได้แก้ไขการตั้งค่าการเข้าถึง และขโมยข้อมูลสำคัญไปหลายรายการ ซึ่งรวมถึงข้อมูล database credentials และ connection strings
ผู้โจมตียังได้มุ่งเป้าไปที่เซิร์ฟเวอร์ Azure SQL และบัญชีจัดเก็บข้อมูลโดยการเปลี่ยน Rule ไฟร์วอลล์ และ network access เพื่อดึง storage keys และ SAS tokens ออกมา รวมไปถึงขโมยข้อมูลโดยใช้สคริปต์ Python ที่พัฒนาขึ้นเอง
โดยฟีเจอร์ Azure VM management เช่น VMAccess และ Run Command ได้ถูกนำไปใช้ในการโจมตี เพื่อสร้างบัญชีผู้ดูแลระบบปลอม และสั่งรันสคริปต์จากระยะไกล รวมไปถึงขโมยข้อมูล credentials
ในขั้นตอนต่อมาของการโจมตี Storm-2949 จะมีการติดตั้งเครื่องมือเพื่อใช้ในการเข้าถึงจากระยะไกล ScreenConnect บนระบบที่ถูกโจมตีพร้อมทั้งพยายามปิดการใช้งานระบบป้องกันของ Microsoft Defender และลบหลักฐาน forensic evidence เพื่อปกปิดร่องรอย
ทั้งนี้ทาง Microsoft ได้ใช้ Storm เป็นชื่อชั่วคราวสำหรับกลุ่มที่ยังไม่ได้รับการจัดประเภทอย่างเป็นทางการ เนื่องจากเป็นภัยคุกคามใหม่ที่เพิ่งเกิดขึ้น หรือกำลังพัฒนา
เพื่อป้องกันการโจมตีจากกลุ่ม Storm-2949 ทาง Microsoft แนะนำให้ปฏิบัติตามแนวทาง security hardening และแนวปฏิบัติที่ดีที่สุด ซึ่งรวมถึงการกำหนดสิทธิ์เท่าที่จำเป็นมาใช้, การเปิดใช้งาน conditional access policies, การเปิดใช้งาน MFA สำหรับผู้ใช้ทุกคน และการตรวจสอบให้มั่นใจว่ามีการใช้ MFA เพื่อป้องกันฟิชชิง (phishing-resistant MFA) สำหรับผู้ใช้ที่ได้รับสิทธิ์ขั้นสูง เช่น ผู้ดูแลระบบ
เพื่อปกป้องทรัพยากรบนคลาวด์ ทาง Microsoft แนะนำให้จำกัดสิทธิ์ Azure RBAC, เก็บรักษาบันทึกกิจกรรม (logs) ของ Azure Key Vault ไว้นานสูงสุดถึงหนึ่งปี, ลดการเข้าถึง Key Vault, จำกัดการเข้าถึง Key Vault จากภายนอก, ใช้ data protection ใน Azure Storage และเฝ้าระวังการใช้งานที่มีความเสี่ยงบน Azure
รายงานของ Microsoft ได้ระบุ IOC สำหรับการโจมตีที่ตรวจพบ พร้อมทั้งให้แนวทางการบรรเทาผลกระทบ และการป้องกันอย่างละเอียดครอบคลุม
ที่มา : bleepingcomputer
You must be logged in to post a comment.