Selon Unit 42 (Palo Alto Networks), des groupes menaçants détournent l’outil open source AzureHound afin d’énumérer des ressources Azure et de cartographier des chemins d’escalade de privilèges, en s’appuyant sur les APIs Microsoft Graph et Azure REST, sans présence préalable dans l’environnement victime.
🔎 Capacités et usage malveillant: AzureHound effectue la découverte via Microsoft Graph (graph.microsoft.com) et l’Azure REST API (management.azure.com) en utilisant des identifiants ou des jetons dérobés. Des acteurs comme Curious Serpens, Void Blizzard et Storm-0501 l’exploitent pour collecter des données sur les identités, les permissions, le stockage et l’infrastructure cloud.
🧭 Mappings MITRE ATT&CK: L’analyse aligne les capacités d’AzureHound avec plusieurs techniques, dont T1087.004 (Account Discovery), T1069.003 (Permission Groups Discovery), T1619 (Cloud Storage Discovery), T1526 (Cloud Service Discovery) et T1580 (Cloud Infrastructure Discovery).
🛡️ Détection et visibilité: La détection repose sur les Microsoft Graph activity logs capturant des requêtes HTTP avec l’user‑agent « azurehound/
🔐 Mesures mentionnées: L’analyse recommande l’MFA, des Conditional Access Policies, la protection des jetons, et l’activation des Microsoft Graph activity logs pour accroître la visibilité sur les patterns d’énumération d’API.
IOCs et TTPs:
- IOCs/artefacts: user‑agent « azurehound/
»; endpoints: graph.microsoft.com, management.azure.com. - TTPs: T1087.004, T1069.003, T1619, T1526, T1580; usage de jetons/identifiants volés; bursts d’appels API (>500/60 min).
Type d’article: analyse de menace fournissant mappings MITRE, stratégies de détection et recommandations de mitigation.
🧠 TTPs et IOCs détectés
TTPs
T1087.004, T1069.003, T1619, T1526, T1580
IOCs
user-agent ‘azurehound/
🔗 Source originale : https://unit42.paloaltonetworks.com/threat-actor-misuse-of-azurehound/