Storm-0501 utnytter Entra ID til å eksfiltrere og slette Azure data i hybride skyangrep.
Storm-0501 utnytter Entra ID til å eksfiltrere og slette Azure data i hybride skyangrep
Ifølge Microsoft Threat Intelligence har ransomware gruppen Storm-0501 utviklet en ny teknikk for angrep mot hybrid skymiljø: de eksporterer store datamengder, sletter data og backup i Azure miljø og krever løsepenger, alt uten tradisjonell skadevare distribusjon. Angrepene involverer lateral bevegelse fra lokale miljø via kompromitterte "Microsoft Entra Connect" synkroniseringskontoer, stjeling av en “non-human” Global Admin rolle uten MFA, opprettelse av en ny samlet Entra ID-domene som backdoor, for deretter å utløse massiv sletting i Azure og utpresse ofrene via kompromitterte Teams kontoer. Microsoft har lansert sikkerhetstiltak, inkludert begrensninger på "Directory Synchronization Accounts", oppdateringer til Entra Connect (v2.5.3.0), og anbefaler bruk av TPM for beskyttelse av sensitive nøkler.
Implementer tiltak mot misbruk av Directory Synchronization Accounts (DSA) i Entra ID. Oppdater Microsoft Entra Connect til versjon 2.5.3.0, som støtter “Modern Authentication” for bedre sikkerhet. Bruk Trusted Platform Module (TPM) på Entra Connect servere for sikker lagring av nøkler og credentials.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.