駭客Storm-2949接管雲端帳號，濫用Azure權限滲透正式環境竊取資料

微軟評估，該攻擊疑似與自助密碼重設流程遭濫用有關。攻擊者可能假冒內部IT支援人員，要求目標使用者核准看似正常的多因素驗證提示。當使用者完成驗證後，攻擊者便能重設密碼、移除原本的驗證方式，並把Microsoft Authenticator註冊到自己的裝置。遭鎖定的帳號包括IT人員與高階主管，顯示攻擊者挑選的是較可能接觸重要系統或資料的身分。

在取得帳號後，Storm-2949會盤點受害組織的雲端環境，尋找使用者、應用程式與可能具有更高權限的帳號。攻擊者也曾試圖替受害環境中的應用程式身分新增憑證，讓自己不必依賴被接管的使用者帳號也能維持存取，不過這個動作因權限不足而未成功。

在Azure環境中，攻擊者利用受害帳號既有的特權，轉向正式Azure訂閱與相關應用資源。Storm-2949曾取得Azure App Service的發布設定檔，藉此取得部署端點憑證，並可進一步查看應用程式環境與部署資訊。攻擊者也操作Azure Key Vault的存取設定，在短時間內讀取數十個祕密資料，包括資料庫連線字串與身分憑證，藉此擴大對正式應用程式與後端資料的存取。

Storm-2949也修改Azure SQL伺服器的防火牆規則與Azure Storage帳號的網路存取設定，取得可用來讀取資料的SAS權杖與帳號金鑰，再以自製Python指令碼列舉並下載大量Blob資料。攻擊者後續還濫用Azure虛擬機器的管理功能，在目標主機建立本機管理員帳號，嘗試透過VM的受管識別取得存取權杖並讀取Key Vault祕密資料，但因權限不足未成功取得祕密資料。後續還安裝ScreenConnect遠端管理工具，用來執行環境探索與憑證蒐集。

微軟建議組織強化身分與雲端資源控管，包括要求所有使用者啟用多因素驗證，並對管理員與特權帳號採用抗釣魚多因素驗證，啟用條件式存取，稽核Azure RBAC與Azure Key Vault權限，限制Azure App Service發布憑證與虛擬機器管理功能，並串聯身分、雲端與端點記錄，追蹤這類跨服務攻擊行為。