Bulut güvenliği, güvenlik işlemleri
Finansal olarak motive olmuş aktör Storm-0501, kurban ortamlarını sistematik olarak araştırdı
Prajeet Nair (@prajeaetspeaks) •
28 Ağustos 2025
İşletmeler hibrid bulut gelişmeleri ile gittikçe, verilerin depolandığı yere ulaşmak için ekstra çemberlerden atlamak anlamına gelse bile bilgisayar korsanlarını takip edin.
Ayrıca bakınız: Talep üzerine | Bulut ortamlarında çeviklik, maliyet ve risk dengeleme
Çarşamba günü Microsoft, global yönetici hesabına sahip bir Azure portalına erişene kadar, Hibrit Şirket içi Active Directory ve Azure Cloud Entra kimliğini sistematik olarak araştıran finansal olarak motive edilmiş bir hack grubu izlediğini söyledi. Kuruluşlar, özellikle buluta kolay taşınmaya direnen eski uygulamalara sahip olduklarında hibrid bulut dağıtımlarını tercih edebilir.
Bir noktada bilgisayar korsanları, çok faktörlü kimlik doğrulaması etkinleştirilmiş bir yönetici kullanıcı hesabı ile entra kimlik ortamında oturum açmaya çalıştıklarında stymeti edildi. Şansları, küresel yönetici ayrıcalıklarına sahip bir hesapla senkronize edilmiş bir Active Directory insan olmayan kimlik bulduklarında devam etti.
Bu, Hacker’ların daha sonra tanımlanamayan kurbanla gasp talebi ile temasa geçtiği Azure ile birleştirilmiş yerel bir cihaza geçididi.
2021’den beri aktif olan Storm-0501, kurbanları fırsatçı bir şekilde hedefliyor. Sabbath ve ambargo da dahil olmak üzere birden fazla fidye yazılımı suşunu dağıtıyor, ancak şimdi, kötü amaçlı yazılım dağıtma adımı olmadan verileri çalmak ve yedeklemeleri yok etmek için bulut yerli araçları kullanmayı tercih ediyor.
Saldırganlar, onlara etki alanı yöneticisi ayrıcalıkları veren bir şirket içi uzlaşma ile başladı. Bilgisayar korsanları, kurban ağ düzeninden yardım aldı, çünkü birden fazla bağlı kuruluşu olan büyük bir şirket olan kurban birden fazla Active Directory alanını korudu ve Azure kiracılarını ayırdı. Microsoft, “Bu parçalanmış dağıtım, çevre genelinde görünürlük boşlukları yarattı.” Bilgisayar korsanları ayrıca Microsoft Defender tarafından izlenmeyen uç noktaları aradı ve “onaylanmamış sistemi hedefleyerek tespitten kaçınmak için kasıtlı bir çaba önerdi.”
Ayrıcalıklı hesaplar için bile bir etki alanı denetleyicisinin davranışını simüle etmek ve şifre karmalarını elde etmek için bir teknik kullandılar ve Azure kiracı içindeki kullanıcıları ve rolleri haritalamak için Azurehound’u dağıttılar. İşte o zaman ayrıcalıklı bir kullanıcı olarak oturum açma girişimlerini yaptılar, ancak koşul erişimi ve çok faktörlü erişim politikalarının barikatına girdiler.
Ek keşif, insan olmayan senkronizasyon kimliğini tespit etti. Bağlı olduğu küresel yönetici hesabının şifresini sıfırlamak için kullandılar – ve hesabın kendisi, en azından korsanların kendileri kontrolleri altında bir MFA yöntemi kaydettirene kadar çok faktörlü kimlik doğrulama ile korunmadı.
Erişim sağladıktan sonra, bilgisayar korsanları geleneksel saldırgan davranışına döndüler. Bir arka kapı oluşturdular ve küresel yönetici ayrıcalıklarını, hedeflenen kiracı tarafından güvenilir bir federasyon alan adı olarak kötü niyetli bir Entra kimlik kiracısını kaydetmek için kullandılar.
Microsoft, Saldırganların Azure kullanıcılarını, rollerini ve kaynaklarını keşfetmek için Azurehound’u kullanmasını zorlaştıracak bir değişiklik uyguladığını söyledi. Ayrıca, kullanıcıların kimlik bilgisi çıkarma yöntemlerine direnmek için hassas kimlik bilgilerini depolamak için Entra Connect Sync sunucularında güvenilir bir platform modülü kullanmasını önerdi.