Microsoft는 Storm-2949로 명명된 위협 행위자가 Microsoft 365 및 Azure 생산 환경을 대상으로 합법적인 애플리케이션과 관리 기능을 악용해 민감한 데이터를 대량으로 탈취하는 공격을 감행했다고 밝혔다. 이 공격자는 IT 담당자나 고위 임원 등 권한이 높은 사용자를 사회공학 기법으로 노려 Microsoft Entra ID 자격 증명을 탈취한 뒤, Self-Service Password Reset(SSPR) 절차와 다중 인증(MFA) 우회 기법을 활용해 계정에 접근했다. 공격자는 IT 지원 직원을 사칭해 피해자에게 긴급 인증을 요구하고, 비밀번호를 재설정한 뒤 MFA를 제거하고 자신의 기기에 Microsoft Authenticator를 등록했다.
계정 탈취 후 Storm-2949는 Microsoft Graph API와 맞춤형 Python 스크립트를 이용해 사용자, 역할, 애플리케이션, 서비스 프린시펄을 탐색하고, 장기적인 침투 기회를 모색했다. 이후 OneDrive와 SharePoint에서 VPN 설정, IT 운영 파일 등 원격 접근에 도움이 될 만한 정보를 대량으로 다운로드했으며, 피해자의 Azure 인프라로 공격을 확장해 가상 머신, 스토리지 계정, Key Vault, 앱 서비스, SQL 데이터베이스 등 생산 환경의 핵심 자산을 노렸다. 이 과정에서 공격자는 Azure RBAC 권한을 악용해 FTP, Web Deploy, Kudu 콘솔을 배포하고, Key Vault 접근 권한을 변경해 데이터베이스 자격 증명 등 수십 개의 비밀 정보를 탈취했다.
공격 후반부에는 ScreenConnect 원격 액세스 도구를 설치하고, Microsoft Defender 보호 기능을 비활성화하며, 포렌식 증거를 삭제하려는 시도도 있었다. Microsoft는 Storm-2949와 같은 공격을 방지하기 위해 최소 권한 원칙 준수, 조건부 접근 정책 활성화, 모든 사용자에 대한 MFA 적용, 관리자 등 권한 계정에 대한 피싱 저항 MFA 도입을 권고했다. 또한 Azure RBAC 권한 제한, Key Vault 접근 최소화, 스토리지 데이터 보호 옵션 활용, 고위험 관리 작업 모니터링 등 보안 강화 방안을 제시했다.
요약
- Storm-2949는 Microsoft 365 및 Azure 환경을 노려 사회공학과 관리 기능 악용으로 대규모 데이터 탈취를 시도하였다.
- 공격자는 권한이 높은 사용자의 자격 증명을 탈취해 MFA를 우회하고, 계정에 접근하였다.
- OneDrive, SharePoint, Azure Key Vault 등에서 민감한 정보를 대량으로 다운로드하고, Azure 인프라 전반으로 공격을 확장하였다.
- 공격 후반에는 원격 액세스 도구 설치, 보안 기능 비활성화, 증거 삭제 시도까지 진행되었다.
- Microsoft는 최소 권한 원칙, MFA 적용, Azure 권한 제한 등 보안 강화 조치를 권고하였다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.