近期一個勒索軟體組織展現了其攻擊手法的高度進化，專門利用企業混合雲環境中的安全漏洞，成功取得 Microsoft Azure 雲端的完全控制權。這類攻擊的核心，是利用企業內部 Active Directory 與雲端身份管理系統（Azure Active Directory）之間的混合身份配置弱點。

攻擊者首先透過某種方式滲透企業內部網路，接著鎖定並竊取Active Directory Federation Services (AD FS) 伺服器上的憑證。AD FS 在混合雲環境中扮演關鍵角色，用於在內部部署與雲端之間同步身分驗證。一旦駭客取得這些憑證，他們就能偽造雲端服務的身分驗證令牌，繞過多重驗證機制，合法地登入 Azure 雲端服務。

憑藉對 Azure 的完全控制權，駭客可自由存取企業在雲端的各種資產，包括虛擬機器、數據庫和儲存服務。這使得他們能夠無聲無息地進行數據外洩，並大規模部署勒索軟體，對企業造成雙重打擊。此攻擊模式凸顯了混合雲環境的獨特風險，即單一的漏洞可能同時威脅到內部和雲端資產。

為防範此類威脅，企業必須採取更為嚴格的混合身分管理策略。首先，應對 AD FS 伺服器進行全面審核與強化，確保其配置符合最佳安全實踐。其次，應嚴格監控所有混合身分的活動，並實施強固的多重身分驗證（MFA）。最後，資安團隊必須具備跨越內部與雲端環境的資安可視性，才能及時發現異常行為，並在駭客取得控制權之前加以阻止。

資料來源：https://www.securityweek.com/ransomware-group-exploits-hybrid-cloud-gaps-gains-full-azure-control-in-enterprise-attacks/