Storm-2949 експлуатує скидання пароля Microsoft 365 для викачування хмарних даних

Storm-2949 експлуатує скидання пароля Microsoft 365 для викачування хмарних даних

Microsoft опублікувала подробиці складної багатоетапної кампанії, проведеної загрозливим суб'єктом, який відстежується як Storm-2949, націленої на організації, що використовують середовища Microsoft 365 та Azure. Особливо вражає в цій атаці на хмарні облікові дані Microsoft 365 точка входу: функція, яку більшість адміністраторів вважають рутинною та з низьким ризиком, а саме — самостійне скидання пароля (SSPR). Потрапивши всередину, зловмисники непомітно переміщалися через OneDrive, SharePoint та бази даних SQL, витягуючи цінні дані до виявлення.

Ця кампанія є гострим нагадуванням, що хмарні платформи настільки ж безпечні, наскільки безпечні конфігурації та припущення, на яких вони побудовані.

Як Storm-2949 перетворив самостійне скидання пароля на зброю

Самостійне скидання пароля — це широко впроваджена функція зручності. Вона дозволяє працівникам відновлювати доступ до облікового запису без звернення до ІТ-відділу, зменшуючи навантаження на службу підтримки та час простою. Більшість команд безпеки вважають її безпечною. Storm-2949 поставився до неї як до дверей.

Зловживаючи функціональністю SSPR, загрозливий суб'єкт зміг скомпрометувати ідентифікаційні дані користувачів без необхідності зламувати паролі перебором або розгортати шкідливе програмне забезпечення. Атака використовувала слабкі місця в налаштуванні або перевірці SSPR, що дозволило групі отримати контроль над законними обліковими записами. Після скидання облікових даних і встановлення доступу зловмисники зливалися зі звичайною активністю користувачів, що значно ускладнювало поведінкове виявлення.

Цей підхід примітний тим, що він обходить багато сигналів, для виявлення яких призначені інструменти безпеки кінцевих точок. Тут немає шкідливого виконуваного файлу, немає підозрілого завантаження, немає очевидного сигналу вторгнення. Зловмисник просто входить як дійсний користувач.

Які дані були викриті — і чому хмарні сховища є ціллю високої вартості

Після отримання початкового доступу Storm-2949 переміщався екосистемою Microsoft 365 та Azure з чіткою метою: витягти якомога більше цінних даних. OneDrive та SharePoint, які використовуються в більшості корпоративних середовищ для зберігання документів і співпраці, були основними цілями. Бази даних SQL, підключені до інфраструктури Azure, також були доступні та викачані.

Масштаб того, що сучасні організації зберігають у цих сервісах, робить їх очевидним фокусом для досвідчених загрозливих суб'єктів. Ділові контракти, фінансові записи, дані клієнтів, внутрішні комунікації та власні дослідження часто знаходяться в SharePoint або OneDrive. Бази даних SQL, підключені до Azure, часто містять структуровані операційні дані, які можна монетизувати або використати для подальших атак.

Цей шаблон дуже нагадує те, що спостерігалося в інших масштабних інцидентах зі збору облікових даних. Вішинг-атака ShinyHunters, яка викрила 40 мільйонів записів Charter Communications, слідувала подібній логіці: отримати доступ, що виглядає легітимним, а потім витягти якомога більше даних до того, як захисники відреагують. Хмарні сховища консолідують величезну цінність в одному місці, що саме й робить їх ціллю.

Чому атаки на основі облікових даних обходять традиційні засоби захисту

Традиційна архітектура безпеки була побудована навколо ідеї, що зловмисники проникають всередину. Вони використовують вразливості програмного забезпечення, розгортають шкідливе ПЗ або перехоплюють мережевий трафік. Периметральний захист, антивірусні інструменти та системи виявлення вторгнень були розроблені для виявлення такої поведінки.

Атаки на основі облікових даних перевертають це припущення. Зловмисник не проникає; він заходить. Коли Storm-2949 використовує SSPR для отримання контролю над законним обліковим записом, кожна наступна дія виглядає як звичайна робота цього користувача. Журнали доступу до файлів показують впізнавану ідентичність. Мережевий трафік надходить із очікуваних служб. Пороги сповіщень, налаштовані на виявлення аномальної поведінки, можуть ніколи не спрацювати.

Це та ж категорія ризику, яка робить вразливості браузерів і платформ настільки небезпечними. Дослідники на Pwn2Own Berlin 2026 продемонстрували, як нульові дні Windows 11 та Edge можуть бути об'єднані для отримання глибокого доступу до системи, показуючи, що навіть довірені, масові платформи мають експлуатовані слабкості. Кампанія Storm-2949 показує, що інфраструктура хмарної ідентифікації несе ту ж категорію ризику.

Як тільки зловмисники закріплюються через ідентичність, а не через експлойти, стримування стає значно складнішим.

Практичні заходи пом'якшення: MFA, журнали аудиту та розумніша конфігурація хмари

Кампанія Storm-2949 вказує на конкретні кроки, які організації та окремі особи можуть вжити для зменшення ризику.

Перевірте конфігурацію SSPR. Якщо самостійне скидання пароля увімкнено, перевірте, які методи підтвердження потрібні. Варіанти відновлення на основі телефону можуть бути перехоплені або використані за допомогою соціальної інженерії. Вимога кількох факторів або обмеження SSPR лише керованими пристроями значно ускладнює завдання для зловмисників.

Забезпечте використання стійкого до фішингу MFA для всіх облікових записів. Стандартна багатофакторна автентифікація на основі SMS забезпечує реальний захист, але залишається вразливою до підміни SIM-карток та певних тактик соціальної інженерії. Апаратні ключі безпеки або автентифікатори на основі додатків, що використовують стандарти FIDO2, значно важче використати зловмисникам.

Перегляньте політики умовного доступу. Microsoft 365 та Azure пропонують засоби керування умовним доступом, які можуть обмежувати вхід на основі відповідності пристрою, місцезнаходження та сигналів ризику. Багато організацій мають ці функції, але не використовують їх.

Відстежуйте аномальні шаблони доступу до даних. Навіть коли зловмисник використовує законні облікові дані, доступ до сотень документів SharePoint або завантаження великих обсягів файлів OneDrive за короткий проміжок часу повинні викликати сповіщення. Налаштування Microsoft Defender for Cloud Apps або еквівалентних інструментів моніторингу для виявлення масового доступу до даних є практичним рівнем виявлення.

Розгляньте захист на мережевому рівні для доступу до хмари. Використання VPN для забезпечення доступу до хмарних служб лише через відомі, контрольовані мережеві шляхи може допомогти обмежити поверхню атаки для зловживання обліковими даними з незнайомих місць.

Що це означає для вас

Незалежно від того, керуєте ви великим корпоративним середовищем чи використовуєте Microsoft 365 особисто для роботи, кампанія Storm-2949 показує, що хмарна безпека не є функцією, увімкненою за замовчуванням. Такі платформи, як Microsoft 365 та Azure, надають потужні інструменти безпеки, але ці інструменти вимагають свідомого налаштування та постійного моніторингу, щоб бути ефективними.

Якщо ваша організація покладається на хмарні сховища для зберігання конфіденційних даних, зараз саме час перевірити ваші засоби контролю ідентифікації та доступу. Зокрема, перегляньте, хто має увімкнене SSPR, як воно перевіряється, чи послідовно застосовується MFA та чи активний моніторинг доступу до даних.

Припущення, що платформа автоматично подбає про безпеку, — це саме та позиція, яку експлуатувала ця кампанія. Кілька годин, витрачених на перегляд засобів контролю доступу, — це значно менша ціна, ніж виявлення того, що ваші дані з OneDrive або SharePoint були непомітно викачані протягом днів або тижнів.