Storm-2949 использует сброс пароля Microsoft 365 для кражи облачных данных

Storm-2949 использует сброс пароля Microsoft 365 для кражи облачных данных

Microsoft опубликовала подробности сложной многоэтапной кампании, проведённой злоумышленником под кодовым именем Storm-2949, нацеленной на организации, использующие среды Microsoft 365 и Azure. Что делает эту атаку на облачные учётные данные Microsoft 365 особенно примечательной, так это точка входа: функция, которую большинство администраторов считают рутинной и малорискованной, — самостоятельный сброс пароля (SSPR). Проникнув внутрь, атакующие незаметно перемещались по OneDrive, SharePoint и базам данных SQL, извлекая ценные данные до того, как их обнаружат.

Эта кампания — наглядное напоминание о том, что облачные платформы защищены ровно настолько, насколько продуманы конфигурации и допущения, на которых они построены.

Как Storm-2949 превратил самостоятельный сброс пароля в оружие

Самостоятельный сброс пароля — широко распространённая функция для удобства пользователей. Она позволяет сотрудникам восстановить доступ к учётной записи без обращения в ИТ-отдел, снижая нагрузку на службу поддержки и время простоя. Большинство специалистов по безопасности считают её безобидной. Storm-2949 воспринял её как дверь.

Злоупотребляя функциональностью SSPR, злоумышленник смог скомпрометировать личности пользователей, не прибегая к подбору паролей перебором и не внедряя вредоносное ПО. Атака использовала слабые места в настройке или верификации SSPR, что позволило группе захватить контроль над легитимными учётными записями. После сброса учётных данных и получения доступа атакующие сливались с обычной пользовательской активностью, значительно усложняя обнаружение на основе поведенческого анализа.

Такой подход примечателен тем, что обходит многие сигналы, на которые рассчитаны средства защиты конечных точек. Здесь нет вредоносного исполняемого файла, подозрительной загрузки, очевидных признаков вторжения. Злоумышленник просто входит в систему как легитимный пользователь.

Какие данные оказались под угрозой — и почему облачное хранилище является ценной целью

Получив первоначальный доступ, Storm-2949 перемещался по экосистеме Microsoft 365 и Azure с чёткой целью: извлечь как можно больше ценных данных. OneDrive и SharePoint, используемые в большинстве корпоративных сред для хранения документов и совместной работы, стали основными целями. Также были доступны и выгружены базы данных SQL, связанные с инфраструктурой Azure.

Масштаб того, что современные организации хранят в этих сервисах, делает их очевидной мишенью для опытных злоумышленников. Деловые контракты, финансовая отчётность, данные клиентов, внутренняя переписка и результаты собственных исследований часто находятся в SharePoint или OneDrive. Базы данных SQL, подключённые к Azure, нередко содержат структурированные операционные данные, которые можно монетизировать или использовать для последующих атак.

Этот сценарий во многом повторяет то, что наблюдалось в других масштабных инцидентах с кражей учётных данных. Вишинговая атака ShinyHunters, раскрывшая 40 миллионов записей Charter Communications, следовала схожей логике: получить легитимный на вид доступ, после чего извлечь максимальный объём данных до того, как отреагируют защитники. Облачное хранилище консолидирует огромную ценность в одном месте, что и делает его мишенью.

Почему атаки на основе учётных данных обходят традиционные средства защиты

Традиционная архитектура безопасности строилась вокруг представления о том, что злоумышленники проникают внутрь. Они эксплуатируют уязвимости программного обеспечения, внедряют вредоносное ПО или перехватывают сетевой трафик. Периметральные средства защиты, антивирусные инструменты и системы обнаружения вторжений были разработаны именно для выявления такого поведения.

Атаки на основе учётных данных переворачивают это допущение. Злоумышленник не проникает — он просто заходит. Когда Storm-2949 использует SSPR для захвата контроля над легитимной учётной записью, все последующие действия выглядят так, будто пользователь работает в обычном режиме. Журналы доступа к файлам показывают распознанную личность. Сетевой трафик исходит из ожидаемых сервисов. Пороговые значения оповещений, настроенные на выявление аномального поведения, могут вообще не сработать.

Это та же категория риска, которая делает уязвимости браузеров и платформ столь опасными. Исследователи на Pwn2Own Berlin 2026 продемонстрировали, как уязвимости нулевого дня в Windows 11 и Edge можно объединить в цепочку для получения глубокого доступа к системе, показывая, что даже доверенные, массовые платформы содержат пригодные для эксплуатации слабости. Кампания Storm-2949 демонстрирует, что облачная инфраструктура идентификации несёт в себе ту же категорию риска.

Как только атакующие закрепляются через идентификацию, а не через эксплойты, сдерживание становится значительно сложнее.

Практические меры защиты: MFA, аудиторские журналы и более грамотная конфигурация облака

Кампания Storm-2949 указывает на конкретные шаги, которые организации и частные лица могут предпринять для снижения подверженности риску.

Проведите аудит конфигурации SSPR. Если самостоятельный сброс пароля включён, проверьте, какие способы верификации требуются. Варианты восстановления по телефону можно перехватить или получить с помощью социальной инженерии. Требование нескольких факторов или ограничение SSPR только управляемыми устройствами значительно усложняет задачу злоумышленникам.

Внедрите устойчивую к фишингу многофакторную аутентификацию для всех учётных записей. Стандартная MFA на основе SMS обеспечивает реальную защиту, но остаётся уязвимой для подмены SIM-карты и определённых методов социальной инженерии. Аппаратные ключи безопасности или приложения-аутентификаторы, использующие стандарты FIDO2, существенно сложнее подделать.

Пересмотрите политики условного доступа. Microsoft 365 и Azure предлагают элементы управления условным доступом, которые могут ограничивать вход в систему на основе соответствия устройства, местоположения и сигналов риска. Во многих организациях эти функции доступны, но не используются.

Отслеживайте аномальные шаблоны доступа к данным. Даже когда злоумышленник использует легитимные учётные данные, доступ к сотням документов SharePoint или загрузка больших объёмов файлов OneDrive за короткий промежуток времени должны вызывать оповещения. Настройка Microsoft Defender for Cloud Apps или аналогичных инструментов мониторинга для обнаружения массового доступа к данным — практичный уровень детектирования.

Рассмотрите защиту на сетевом уровне для облачного доступа. Использование VPN, чтобы доступ к облачным сервисам осуществлялся только по известным, контролируемым сетевым маршрутам, может помочь ограничить поверхность атаки для неправомерного использования учётных данных из незнакомых местоположений.

Что это значит для вас

Управляете ли вы крупной корпоративной средой или используете Microsoft 365 лично для работы, кампания Storm-2949 показывает, что облачная безопасность не включается по умолчанию. Платформы вроде Microsoft 365 и Azure предоставляют мощные средства защиты, но эти инструменты требуют продуманной настройки и постоянного мониторинга, чтобы быть эффективными.

Если ваша организация полагается на облачное хранилище для хранения конфиденциальных данных, сейчас самое время провести аудит ваших средств управления идентификацией и доступом. В частности, проверьте, у кого включён SSPR, как он верифицируется, последовательно ли применяется MFA и активен ли мониторинг доступа к данным.

Предположение, что платформа автоматически позаботится о безопасности, — именно та позиция, которую и использовала эта кампания. Несколько часов, потраченных на проверку элементов управления доступом, — гораздо меньшая цена, чем обнаружение того, что ваши данные OneDrive или SharePoint были незаметно похищены в течение нескольких дней или недель.