HackerangriffeCloud-SicherheitDatenschutz

Storm-2949: Wie Hacker über Microsoft-Support-Funktionen in Azure-Umgebungen eindringen

Von CyberDeutsch Redaktion
Storm-2949: Wie Hacker über Microsoft-Support-Funktionen in Azure-Umgebungen eindringen
Zusammenfassung

Die Bedrohungsgruppe Storm-2949 führt derzeit gezielte Angriffe auf Microsoft 365 und Azure-Umgebungen durch, um sensible Daten von Organisationen zu stehlen. Die Angreifer nutzen Social Engineering, um Mitarbeiter mit privilegierten Rollen – wie IT-Personal oder Führungskräfte – zu täuschen und deren Microsoft Entra ID-Anmeldedaten zu kompromittieren. Besonders bemerkenswert ist die Ausnutzung der Self-Service Password Reset-Funktion (SSPR), bei der Angreifer durch gefälschte IT-Support-Anfragen Nutzer dazu bringen, Authentifizierungsaufforderungen zu genehmigen. Nach erfolgreicher Kontokompromittierung nutzen die Angreifer die Microsoft Graph API und Python-Scripts, um Benutzerkonten, Rollen und Cloud-Ressourcen zu erkunden. Sie durchsuchen OneDrive und SharePoint nach VPN-Konfigurationen und IT-Dateien, um Zugang zu unternehmensinternen Netzwerken zu erlangen. Darüber hinaus greifen sie auf Azure-Ressourcen wie Virtual Machines, Storage-Konten, Key Vaults und SQL-Datenbanken zu. Für deutsche Unternehmen und Behörden stellt dieser Angriffsvektor ein erhebliches Risiko dar, da viele Organisationen auf Microsoft-Infrastruktur angewiesen sind. Microsoft empfiehlt umfassende Sicherheitsmaßnahmen, darunter Prinzipien der Zugriffsbegrenzung, bedingte Zugriffssicherungen und phishing-resistente Multi-Faktor-Authentifizierung für privilegierte Benutzer.

Die von Microsoft als Storm-2949 bezeichnete Bedrohungsgruppe hat ein raffiniertes Angriffsmuster entwickelt, das legitime Microsoft-Funktionen gegen ihre Besitzer einsetzt. Der Angriffsablauf beginnt mit gezielter Social Engineering: Angreifer kontaktieren Mitarbeiter mit privilegierten Rollen und geben sich als IT-Support aus. Sie initiieren einen Passwort-Reset für das Zielkonto und überreden das Opfer, MFA-Genehmigungsprompts zu bestätigen. Unter dem Vorwand einer dringenden Kontoüberprüfung gelingt es ihnen, das Passwort zurückzusetzen und MFA-Kontrollen zu entfernen. Anschließend registrieren sie ihren eigenen Microsoft Authenticator auf dem Konto.

Nach der Kontokompromittierung setzt Storm-2949 auf systematische Aufklärung: Mit der Microsoft Graph API und eigenen Python-Skripten durchsuchen die Angreifer Benutzerverzeichnisse, Rollen, Anwendungen und Service-Prinzipale. Sie durchforsten OneDrive und SharePoint nach VPN-Konfigurationen und IT-Dateien — potenzielle Zugangspunkte für laterale Bewegungen vom Cloud-System ins interne Netzwerk. In einem dokumentierten Fall luden die Angreifer tausende Dateien in einer Aktion auf ihre Infrastruktur herunter.

Die Angriffe erweitern sich systematisch auf Azure-Infrastrukturen: Virtual Machines, Storage Accounts, Key Vaults, App Services und SQL-Datenbanken werden kompromittiert. Storm-2949 nutzt privilegierte Azure-RBAC-Rollen aus, um Zugang zu Production-Umgebungen zu erhalten. Über Azure App Services erlangt die Gruppe Zugriff auf Dateisysteme, Umgebungsvariablen und kann Remote-Befehle ausführen. In Key Vaults werden dutzende Geheimnisse gestohlen — Datenbankzugangsdaten und Verbindungszeichenfolgen eingeschlossen.

Besonders besorgniserregend ist die Eskalation: Angreifer modifizieren Firewall- und Netzwerkzugriffsregeln von Azure SQL-Servern und Storage Accounts, extrahieren Storage-Keys und SAS-Tokens. Sie erstellen mit VMAccess und Run Command rogue Administrator-Accounts und führen Remote-Skripte aus. Später deployen sie ScreenConnect für persistenten Remote-Zugriff, versuchen, Microsoft Defender zu deaktivieren, und löschen forensische Spuren.

Microsoft empfiehlt zur Abwehr das Principle of Least Privilege, Conditional Access Policies, MFA für alle Nutzer und phishing-resistente MFA für Administratoren. Zusätzlich sollten Azure-RBAC-Berechtigungen minimiert, Key Vault-Logs bis zu einem Jahr aufbewahrt und öffentliche Zugriffe auf Key Vaults blockiert werden.

Ähnliche Artikel