Корпорація Microsoft зафіксувала нову хвилю цілеспрямованих кібератак на виробничі середовища Azure та Microsoft 365, за якими стоїть хакерське угруповання під ідентифікатором Storm-2949. Головною метою зловмисників є безшумна ексфільтрація максимального обсягу конфіденційних даних з високоцінних активів атакованих організацій. Атаки спрямовані переважно на користувачів із привілейованими ролями, таких як ІТ-адміністратори або члени вищого керівництва. Для отримання доступу хакери не використовують складне шкідливе програмне забезпечення чи вразливості нульового дня, а натомість покладаються на ретельно сплановану соціальну інженерію та зловживання легітимними функціями хмарного адміністрування. Ключовим вектором проникнення стало цілеспрямоване використання механізму самостійного скидання пароля у поєднанні з компрометацією облікових даних Microsoft Entra ID.

Хронологія типової атаки базується на маніпуляціях з багатофакторною автентифікацією. Спочатку зловмисник ініціює процес скидання пароля для цільового облікового запису, після чого зв’язується з жертвою, видаючи себе за співробітника служби корпоративної ІТ-підтримки. Під приводом термінової необхідності верифікації акаунта, хакер обманом змушує жертву схвалити запит MFA на своєму пристрої. Отримавши первинний доступ до консолі, Storm-2949 негайно завершує скидання пароля, відключає існуючі засоби контролю багатофакторної автентифікації та реєструє власний додаток Microsoft Authenticator на своєму пристрої. Це дозволяє їм закріпитися в системі, обходити всі подальші перевірки безпеки та безперешкодно вивантажувати корпоративні документи й бази даних, залишаючись непомітними для стандартних засобів виявлення вторгнень.