Ciekawe informacje przynoszą badacze Microsoft. Opisali oni, w jaki sposób często omawiane przez nas ataki na AD mogą posłużyć do przejęcia całego środowiska chmurowego. Jako przykład służy Storm-0501 – grupa hakerska, która skupia się na atakowaniu środowisk chmurowych, aby kraść dane i dokonywać wymuszeń. Ugrupowanie działa co najmniej od 2021 roku i znane jest z wykorzystywania różnych rodzin ransomware (Sabbath, Alphv/BlackCat, Hive, Hunters International, LockBit i Embargo) w atakach na lokalne i hybrydowe środowiska chmurowe.

Autor: 5 min czytania

W zeszłym roku grupa została zauważona w wyniku ataku na środowiska Active Directory, przenosząc się do Entra ID, zwiększając uprawnienia do poziomu administratora globalnego, wszczepiając „tylne furtki” w konfiguracjach dzierżawców Entra ID i wdrażając lokalne ransomware do szyfrowania plików. W niedawnym ataku na duże przedsiębiorstwo hakerzy zastosowali podobną taktykę: przejęli kontrolę nad wieloma domenami Active Directory, przeprowadzili rekonesans w celu zidentyfikowania chronionych punktów końcowych i uniknięcia wykrycia, a następnie działali bocznie, wykorzystując narzędzie Evil-WinRM do wykrywania ataków po ataku. Więcej o tego rodzaju działaniach możecie przeczytać tutaj.

Hakerzy ze Storm-0501 przejęli kontrolę nad serwerem synchronizacji Entra Connect i podszywali się pod kontroler domeny, aby zażądać skrótów haseł dla użytkowników domeny. Wyliczyli również użytkowników, role i zasoby platformy Azure oraz próbowali zalogować się jako kilku użytkowników z uprawnieniami.

Po nieudanych próbach logowania atakujący przemieszczali się między domenami Active Directory, przejęli kontrolę nad innym serwerem Entra Connect, zidentyfikowali zsynchronizowaną tożsamość inną niż ludzka, która miała uprawnienia administratora globalnego w Entra ID, i zresetowali jej hasło, aby uzyskać dostęp do konta.

„W rezultacie atakujący mógł uwierzytelnić się za pomocą Entra ID jako ten użytkownik, używając nowego hasła. Ponieważ użytkownik ten nie miał zarejestrowanego uwierzytelniania wieloskładnikowego (MFA), po pomyślnym uwierzytelnieniu za pomocą nowo przypisanego hasła, atakujący został przekierowany do zarejestrowania nowej metody MFA, która podlega jego kontroli” – wyjaśnia Microsoft.

Po zidentyfikowaniu hybrydowego urządzenia Microsoft Entra Storm-0501 uzyskało dostęp do portalu Azure jako administrator globalny, zdobywając pełną kontrolę nad domeną chmurową. Przestępcy natychmiast wdrożyli backdoor, umożliwiający zalogowanie się jako dowolny użytkownik poprzez rejestrację nowego dzierżawcy Entra ID.

Wyposażeni w uprawnienia najwyższego poziomu Entra ID, hakerzy podnieśli swoje uprawnienia do roli Właściciela Azure we wszystkich subskrypcjach Azure ofiary, przejmując w zasadzie całe środowisko Azure.

„Oceniamy, że atakujący zainicjował kompleksową fazę wykrywania, wykorzystując różne techniki, w tym narzędzie AzureHound, w którym próbował zlokalizować krytyczne zasoby organizacji, takie jak magazyny danych zawierające poufne informacje oraz zasoby magazynów danych przeznaczone do tworzenia kopii zapasowych lokalnych i chmurowych urządzeń końcowych” – zauważają specjaliści Microsoft.

Hakerzy zaatakowali również konta w usłudze Azure Storage, wykorzystując rolę właściciela platformy Azure do kradzieży kluczy dostępu, a następnie ujawniając konta, które nie były dostępne z Internetu w sieci i własnej infrastrukturze, a następnie wykorzystując narzędzie wiersza poleceń (CLI) AzCopy do eksfiltracji danych.

Po kradzieży danych atakujący zainicjowali ich masowe usuwanie, aby uniemożliwić podjęcie działań naprawczych. Próbowali również usunąć zabezpieczenia uniemożliwiające usunięcie niektórych danych i wykorzystali szyfrowanie w chmurze dla zasobów, których nie można było usunąć.

„Po pomyślnym wykradzeniu i zniszczeniu danych w środowisku Azure atakujący zainicjował fazę wymuszenia, kontaktując się z ofiarami za pomocą Microsoft Teams, używając jednego z wcześniej zainfekowanych użytkowników i żądając okupu” – informuje Microsoft.

Gigant technologiczny zwraca również uwagę, że po włamaniu się do środowiska chmurowego ofiary Storm-0501 wykorzystało natywne dla chmury polecenia i funkcje do przeprowadzenia rozpoznania, ruchu bocznego, wykradania danych uwierzytelniających, eskalacji uprawnień oraz kradzieży, usuwania i szyfrowania danych.

„Storm-0501 wykazuje biegłość w poruszaniu się między środowiskami lokalnymi a chmurowymi, ilustrując, jak atakujący adaptują się wraz z rosnącą popularnością chmury hybrydowej. Szukają niezarządzanych urządzeń i luk w zabezpieczeniach w hybrydowych środowiskach chmurowych, aby uniknąć wykrycia i eskalować uprawnienia w chmurze, aby osiągnąć swoje cele” – podsumowują badacze.