Nach der Übernahme eines Kontos verschafft sich Storm-2949 laut Microsoft zunächst einen Überblick: Mithilfe der Microsoft Graph API und eigener Python-Skripte zählen die Angreifer Benutzer, Rollen, Anwendungen und Dienstprinzipale auf und prüfen, wo sich dauerhafter Zugang einrichten lässt.

Im nächsten Schritt durchsuchen sie OneDrive und SharePoint in Microsoft 365 nach VPN-Konfigurationen und IT-Betriebsunterlagen sowie nach Fernzugriffsdaten, die eine seitliche Bewegung aus der Cloud in das Endgerätenetz erlauben. „In einem Fall nutzte Storm-2949 die OneDrive-Weboberfläche, um in einer einzigen Aktion Tausende Dateien auf die eigene Infrastruktur herunterzuladen", so Microsoft. Dieses Muster habe sich über alle kompromittierten Konten hinweg wiederholt, vermutlich weil unterschiedliche Identitäten Zugriff auf verschiedene Ordner und freigegebene Verzeichnisse hatten.

In der Azure-Umgebung kompromittierten die Angreifer mehrere Identitäten mit privilegierten, benutzerdefinierten RBAC-Rollen über mehrere Azure-Abonnements hinweg. Damit konnten sie nach Microsoft-Angaben die sensibelsten Bestände aufdecken und abziehen, insbesondere aus produktiven Azure-Abonnements. Über die erbeuteten Berechtigungen beschafften sie sich Zugangsdaten, um FTP, Web Deploy und die Kudu-Konsole zur Verwaltung von Azure App Services einzusetzen — und konnten so das Dateisystem durchsuchen, Umgebungsvariablen einsehen und Befehle im Kontext der Anwendung ausführen.

Anschließend wandten sich die Angreifer den Azure Key Vaults zu, änderten dort die Zugriffseinstellungen und entwendeten Dutzende Geheimnisse, darunter Datenbank-Zugangsdaten und Verbindungszeichenfolgen. Auch Azure-SQL-Server und Storage-Konten gerieten ins Visier: Storm-2949 manipulierte Firewall- und Netzwerkregeln, holte sich Speicherschlüssel und SAS-Tokens und exfiltrierte Daten mit eigenen Python-Skripten. VM-Verwaltungsfunktionen wie VMAccess und Run Command nutzten sie, um unrechtmäßige Administratorkonten anzulegen, Skripte aus der Ferne auszuführen und Anmeldedaten zu stehlen.

In den späteren Phasen brachten die Angreifer das Fernzugriffswerkzeug ScreenConnect auf kompromittierten Systemen aus, versuchten den Schutz von Microsoft Defender zu deaktivieren und forensische Spuren zu löschen. Microsoft weist darauf hin, dass die Bezeichnung „Storm" eine vorläufige Kennung für noch nicht klassifizierte, neue oder sich entwickelnde Aktivitäten ist.

Zur Abwehr empfiehlt Microsoft unter anderem das Prinzip der minimalen Rechtevergabe, Richtlinien für bedingten Zugriff, MFA für alle Nutzer sowie phishing-resistente MFA für privilegierte Rollen. Für Cloud-Ressourcen rät das Unternehmen dazu, Azure-RBAC-Berechtigungen einzuschränken, Key-Vault-Protokolle bis zu einem Jahr aufzubewahren, den Zugriff auf Key Vaults zu begrenzen und öffentlichen Zugang zu unterbinden, Datenschutzoptionen in Azure Storage zu nutzen und risikoreiche Verwaltungsvorgänge zu überwachen. Der Bericht enthält zudem Kompromittierungsindikatoren sowie ausführliche Hinweise zur Eindämmung.