Microsoft* предупреждает об эксплуатации сброса паролей для взлома аккаунтов

Storm-2949 – это хакерская группа, которая, как предупреждает корпорация Microsoft*, активно использует функцию сброса паролей в её сервисах. Цель злоумышленников – похитить учетные данные пользователей, получить доступ к их аккаунтам и извлечь как можно больше конфиденциальной информации.

Согласно новому отчету исследовательской группы Microsoft* Defender Security Research Team, в основе этой кампании лежит механизм самообслуживания для сброса пароля (Self-Service Password Reset, SSPR), встроенный в экосистему Microsoft*. Обычно, когда сотрудник забывает свои учетные данные и нажимает кнопку «Забыли пароль», система Microsoft* отправляет запрос на многофакторную аутентификацию (MFA) на его зарегистрированное второе устройство. После подтверждения пользователь получает возможность установить новый пароль с того же устройства, с которого был инициирован процесс.

Методика атаки Storm-2949

Группа Storm-2949 использовала этот механизм в высокоцелевых атаках. Сначала злоумышленники идентифицировали свою жертву, получали её номер телефона и адрес электронной почты, используемый для входа в сервисы Microsoft*. Затем они инициировали процедуру сброса пароля и одновременно звонили жертвам.

Представляясь сотрудниками IT-отдела, они убеждали жертв одобрить запрос MFA, что фактически давало хакерам возможность создать новый пароль. Следующим шагом было вытеснение жертвы из аккаунта и извлечение максимального объема информации.

Команда Microsoft* Threat Intelligence назвала эту кампанию «методичной, изощренной и многоуровневой». Атаки нацелены на приложения Microsoft 365*, службы хранения файлов и производственные среды, размещенные в Azure*.

По данным представителей Microsoft*, в одном случае группа Storm-2949 использовала веб-интерфейс OneDrive*, чтобы загрузить тысячи файлов на свою инфраструктуру за одну операцию. Такая схема кражи данных повторялась для всех скомпрометированных учетных записей, предположительно потому, что разные учетные данные имели доступ к разным папкам и общим каталогам.

Рекомендации по безопасности от Microsoft*

Для защиты от этой кампании Microsoft* предлагает следующие меры:

• Ограничить разрешения управления доступом на основе ролей (RBAC) в Azure*.
• Хранить журналы Azure* Key Vault (хранилища ключей) в течение одного года.
• Сократить уровень доступа к Key Vault и ограничить к нему публичный доступ.
• Использовать параметры защиты данных в Azure* Storage (хранилище данных).
• Вести мониторинг высокорисковых операций управления в Azure*.

* — деятельность компании запрещена на территории РФ