🔍 Contexte

Publié le 18 mai 2026 par la Microsoft Defender Security Research Team, cet article constitue un rapport d’incident détaillé analysant une campagne sophistiquée menée par le groupe Storm-2949. L’attaque a ciblé une organisation non nommée dont l’infrastructure repose massivement sur les services cloud Microsoft (Microsoft 365, Azure).

🎯 Vecteur d’accès initial

L’accès initial a été obtenu via ingénierie sociale ciblée combinée à un abus du processus SSPR (Self-Service Password Reset) de Microsoft Entra ID. Le groupe a :

  • Initié le processus SSPR au nom d’utilisateurs ciblés
  • Usurpé l’identité du support IT interne pour convaincre les victimes d’approuver des prompts MFA frauduleux
  • Réinitialisé les mots de passe et supprimé les méthodes d’authentification existantes
  • Enrôlé Microsoft Authenticator sur leurs propres appareils pour un accès persistant

Les victimes ciblées incluaient du personnel IT et des cadres dirigeants, indiquant un ciblage délibéré de comptes privilégiés.

🔗 Chaîne d’attaque — Phase 1 : Microsoft Entra ID & Microsoft 365

  • Découverte d’annuaire via Microsoft Graph API avec un script Python personnalisé pour énumérer utilisateurs et applications
  • Tentative (échouée) d’ajout de credentials à un service principal compromis
  • Compromission de 3 comptes utilisateurs cloud supplémentaires via les mêmes techniques SSPR
  • Exfiltration massive depuis OneDrive et SharePoint : téléchargement de milliers de fichiers (configurations VPN, procédures d’accès distant) via l’interface web OneDrive

☁️ Chaîne d’attaque — Phase 2 : Microsoft Azure

Azure App Service & Key Vault :

  • Exploitation des permissions Azure RBAC pour invoquer microsoft.Web/sites/publishxml/action et récupérer les profils de publication (credentials FTP, Web Deploy, Kudu)
  • Accès à la console Kudu pour explorer les configurations applicatives
  • Manipulation des configurations d’accès au Key Vault (rôle Owner) en 4 minutes pour extraire des dizaines de secrets (connection strings, credentials d’identité)
  • Utilisation des credentials extraits pour accéder à l’application web de production principale et modification du mot de passe

Azure Storage & SQL :

  • Manipulation des règles de pare-feu SQL via microsoft.sql/servers/firewallrules/write
  • Manipulation des configurations réseau des Storage accounts via microsoft.storage/storageaccounts/write
  • Extraction de SAS tokens et clés de compte via microsoft.Storage/storageAccounts/listkeys/action
  • Téléchargement massif de blobs via un script Python personnalisé utilisant l’Azure SDK for Storage
  • Suppression des règles de pare-feu modifiées (defense evasion)

Azure Virtual Machines :

  • Déploiement de l’extension VMAccess pour créer un compte administrateur local backdoor
  • Utilisation de Run Command pour tenter d’abuser de la managed identity via l’Azure Instance Metadata Service (IMDS)
  • Déploiement de ScreenConnect (RMM) via script PowerShell exécuté par Run Command
  • Désactivation de Microsoft Defender Antivirus (real-time protection, behavior monitoring)
  • Nettoyage des artefacts forensiques : effacement des event logs Windows, suppression de l’historique de commandes

🖥️ Post-compromission via ScreenConnect

  • Découverte système (OS, configuration, comptes de domaine, groupes)
  • Exfiltration de fichiers .pfx (certificats avec clés privées potentielles)
  • Recherche de credentials dans des fichiers sur des partages réseau distants

📡 Indicateurs de compromission

  • IP attaquant : 176.123.4.44, 91.208.197.87
  • IP ScreenConnect : 185.241.208.243

📄 Nature de l’article

Il s’agit d’un rapport d’incident technique détaillé publié par Microsoft Threat Intelligence, dont le but principal est de documenter la chaîne d’attaque complète de Storm-2949 et de fournir des détections Microsoft Defender XDR associées à chaque phase de l’attaque.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Storm-2949 (unknown) —

TTP

  • T1566 — Phishing (Initial Access)
  • T1621 — Multi-Factor Authentication Request Generation (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1078.004 — Valid Accounts: Cloud Accounts (Initial Access)
  • T1098.005 — Account Manipulation: Device Registration (Persistence)
  • T1087.004 — Account Discovery: Cloud Account (Discovery)
  • T1526 — Cloud Service Discovery (Discovery)
  • T1530 — Data from Cloud Storage (Collection)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1619 — Cloud Storage Object Discovery (Discovery)
  • T1537 — Transfer Data to Cloud Account (Exfiltration)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1136.003 — Create Account: Cloud Account (Persistence)
  • T1136.001 — Create Account: Local Account (Persistence)
  • T1219 — Remote Access Software (Command and Control)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1580 — Cloud Infrastructure Discovery (Discovery)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1606 — Forge Web Credentials (Credential Access)
  • T1021.007 — Remote Services: Cloud Services (Lateral Movement)

IOC

Malware / Outils

  • ScreenConnect (tool)

🟢 Indice de vérification factuelle : 83/100 (haute)

  • ✅ microsoft.com — source reconnue (liste interne) (20pts)
  • ✅ 39326 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/3 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, VirusTotal) (8pts)
  • ✅ 26 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Storm-2949 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 185.241.208.243 (ip) → VT (13/92 détections)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/05/18/storm-2949-turned-compromised-identity-into-cloud-wide-breach/