Зловмисники використовують Microsoft Entra ID для атак на гібридні хмарні середовища

Для проведення руйнівних атак з використанням програм-вимагачів, націлених на гібридні хмарні середовища, зловмисники, що стоять за шифрувальником Storm-0501, використовують зламані облікові дані Microsoft Entra ID (раніше Azure Active Directory), інформує Oberig IT. Спочатку вони атакували локальні системи, а потім перейшли до отримання постійного доступу, зловживаючи обліковими даними та дозволами в хмарі.

В останній кампанії використовуються скомпрометовані облікові дані для підвищення привілеїв і проведення атак безпосередньо в хмарних інфраструктурах підприємств. Зокрема зловмисники уживають інструмент Evil-WinRM, який використовує PowerShell через Windows Remote Management (WinRM) для полегшення віддаленого виконання коду, що дозволяє здійснювати такі дії, як латеральне переміщення і шифрування даних.

Атака DCSync, яка дозволяє зловмиснику видати себе за контролер домену, зловживаючи віддаленим протоколом служби реплікації каталогів, також використовується для вилучення конфіденційних даних Active Directory, включаючи хеші паролів користувачів, які згодом використовувалися для отримання доступу до інших облікових записів, в тому числі до облікового запису з роллю глобального адміністратора, який не був захищений MFA.

Адміністраторам рекомендується впровадити багатофакторну автентифікацію (MFA), використовувати модуль довіреної платформи (TPM) на сервері Entra Connect Sync для запобігання крадіжки конфіденційних матеріалів, здійснювати постійний моніторинг журналів управління ідентифікацією та доступом, а також вводити суворий контроль доступу для зниження цих загроз.