แฮกเกอร์เล็งเป้า Azure Blob Storage ใช้เป็นช่องทางขโมยข้อมูล

1. Reconnaissance: แฮกเกอร์สแกนและตรวจสอบ Azure Blob Storage เพื่อหาข้อมูลหรือข้อมูลรับรองที่เปิดเผยต่อสาธารณะ เช่น ใช้ DNS, HTTP probing เพื่อค้นหาโดเมนย่อย *[.]blob[.]core[.]windows[.]net ที่ใช้งานได้ หรือใช้เครื่องมืออย่าง Goblob, QuickAZ และสคริปต์ PowerShell brute-force เพื่อระบุชื่อ Container ที่ถูกต้องรวมถึงค้นหาคีย์หรือ SAS ที่รั่วใน GitHub หรือ Config File เพื่อเข้าถึงระบบเริ่มต้นได้
2. Resource development: แฮกเกอร์อาจใช้ Blob Storage ที่ตั้งค่าผิด เพื่อสร้างหน้าเว็บปลอม เช่น Microsoft Login Page หรืออัปโหลดไฟล์อันตราย .exe, macro ให้ผู้ใช้ดาวน์โหลดโดยไม่รู้ตัว นอกจากนี้ยังอาจฝังข้อมูลที่บิดเบือนใน dataset สำหรับ Machine Learning เพื่อ Poison โมเดล
3. Initial access: การตั้งค่า Endpoint ผิดเพียงจุดเดียวอาจเปิดทางให้แฮกเกอร์แทรกตัวเข้าไปใน Workflow ของ Azure เช่น Blob-triggered Azure Functions หรือ Logic Apps ที่ใช้ Authentication ไม่รัดกุม ทำให้แฮกเกอร์สามารถ Hijack การประมวลผลและขยายสิทธิ์ได้
4. Persistence: เมื่อแฮกเกอร์เข้ามาได้แล้ว จะสร้างช่องทางอยู่ถาวร เช่น มอบสิทธิ์ Role สูงให้บัญชีตนเอง, สร้าง SAS ระยะยาว, เปิด Anonymous Access, เปิด SFTP, หรือใช้ Soft-Delete เพื่อซ่อน Payload ที่ลบแล้วกลับมากู้คืนภายหลังได้ รวมถึงใช้เครื่องมืออย่าง AADInternals และ AzureHound เพื่อหาช่อง Privilege Escalation
5. Defense evasion: แฮกเกอร์อาจแก้ไข Firewall Rule, ปิด Logging หรือสร้าง Private Endpoint เพื่อหลบการตรวจสอบและลดการตรวจจับจากระบบป้องกัน
6. Credential access: แฮกเกอร์จะพยายามขโมยคีย์หรือโทเคนของ Blob Storage โดยการเรียกใช้ API เช่น listKeys เพื่อดึง Account Keys โดยตรง ขโมยหรือยกระดับการใช้งาน Refresh Token ของ Microsoft Entra ID เพื่อขอ Access Token ใหม่ ดึงข้อมูลรับรองที่แคชไว้ภายใน Azure Cloud Shell และดักจับ Shared Access ซึ่งล้วนอาจให้สิทธิ์เข้าถึงระดับ Data-Plane และเลี่ยงการควบคุมแบบระบุตัวตน
7. Discovery: เมื่อเข้ามาใน Azure ได้แล้ว แฮกเกอร์จะสแกน Subscription, Resource Group และ Storage Account ทั้งหมด เพื่อดูว่าไฟล์สำคัญอยู่ที่ใด และดูว่ามี Firewall, Logging หรือ Backup ใดที่สามารถปิดหรือข้ามได้
8. Lateral movement: แฮกเกอร์ใช้ Blob Event Trigger เพื่อรันโค้ดอันตรายและเคลื่อนเข้าสู่บริการอื่น หรือเจาะผ่าน Data Pipeline ที่เชื่อมกับ Blob Storage เพื่อขยายสิทธิ์และเคลื่อนไปยัง service อื่น
9. Collection: หาก Container เปิดสาธารณะ แฮกเกอร์สามารถดาวน์โหลดข้อมูลได้ตรง ๆ หรือใช้ AzCopy และ Azure REST API เพื่อคัดลอกข้อมูลไปยัง Container ที่ควบคุมเอง และอาจเข้ารหัสหรือบีบอัดข้อมูลก่อนเตรียม Exfiltration
10. Command and control: Blob Storage อาจถูกใช้เป็นช่องทาง C2 ลับ โดยมัลแวร์จะอ่านหรือเขียน Metadata ของ Blob เพื่อรับคำสั่งหรือส่งข้อมูลกลับ โดยไม่ต้องแก้ไขเนื้อหาไฟล์จริง ทำให้ยากต่อการตรวจจับ หรือใช้ Object Replication เพื่อกระจาย Payload ไปยังระบบอื่นแบบ Supply-Chain Attack
11. Exfiltration: แฮกเกอร์ใช้ AzCopy, Storage Explorer, หรือสคริปต์ภายใน Azure Functions/Logic Apps เพื่อดึงข้อมูลออกอย่างแนบเนียน เช่น คัดลอกไปยัง Container หรือส่งข้อมูลออกผ่านเครือข่ายภายในของ Microsoft เพื่อเลี่ยงระบบตรวจจับ
12. Impact: เมื่อได้สิทธิ์สูงหรือคีย์สำคัญ แฮกเกอร์สามารถ ลบข้อมูลจำนวนมาก, เขียนทับไฟล์, เปลี่ยน Tier หรือ Metadata, หรือแม้แต่ เข้ารหัสข้อมูลใหม่เพื่อทำลายระบบ ได้ ขณะที่เพียงการอ่านหรือขโมยข้อมูลก็อาจสร้างผลกระทบระยะยาวในเชิงจารกรรม

สรุปการโจมตี

แฮกเกอร์เริ่มด้วย Reconnaissance สแกนโดเมนและใช้เครื่องมือเช่น Goblob, QuickAZ และ PowerShell Brute-Force เพื่อค้นหา Container, blob หรือ SAS ที่รั่ว จากนั้นอัปโหลดหน้าเว็บปลอมหรือไฟล์อันตรายไปยัง container สาธารณะ ใช้ช่องโหว่การทำงานร่วมกับ Event Grid และ Azure Functions เพื่อเข้าถึง Workflow ที่ผูกกับ Blob แล้วยกระดับสิทธิ์ สร้าง Persistence ด้วย SAS ระยะยาวหรือมอบ Role ที่เพิ่มสิทธิ์ ปรับ Firewall Rule และตั้งค่า Private Endpoint ลับเพื่อลดการตรวจจับ ขยายวงการโจมตีเป็น Lateral Movement ผ่าน Triggers หรือ Data Pipeline และใช้ Blob เป็นช่องทาง C2 แบบ Stealth ก่อนคัดลอกข้อมูลไปยัง Container ส่งออกด้วย AzCopy หรือเครือข่ายภายในของ Microsoft

ผลกระทบจากการโจมตี

จากการโจมตีที่ใช้ประโยชน์จากช่องทางของ Azure Blob Storage สามารถก่อผลกระทบข้อมูลลับถูกขโมยหรือรั่วไหลออกไปสร้างความเสี่ยงด้านจารกรรมและการนำข้อมูลไปใช้ในทางการค้า, ไฟล์ถูกลบ ถูกเข้ารหัสหรือถูกย้ายไปที่อื่นจนกระทบการให้บริการ งานวิเคราะห์ และกระบวนการกู้คืน รวมถึงการหยุดชะงักของกระบวนการธุรกิจ หรือกระจายการโจมตีเป็นลูกโซ่ไปยังระบบอื่น ๆ ทำให้การตรวจจับและการกู้คืนซับซ้อนขึ้นและขยายผลกระทบเป็นวงกว้างได้ในระดับองค์กรและซัพพลายเชน

คำแนะนำ

• ปิดการเข้าถึงแบบ Anonymous และตรวจสอบสิทธิ์ของทุก Container ตามหลักการ Least Privilege
• หมุนเวียน Account Key, SAS Token และ Secret Keys อย่างสม่ำเสมอ พร้อมเปิดใช้งาน Azure Key Vault เพื่อจัดการและเข้ารหัสคีย์ทั้งหมด
• เปิด Azure Storage Logging, Azure Defender for Storage, และ Activity Logs เพื่อเฝ้าระวังการเข้าถึงผิดปกติ
• จำกัดการเข้าถึง Blob ผ่าน Private Endpoint, Firewall Rule, และ VNET Integration เพื่อกันการเข้าถึงจาก IP ภายนอกที่ไม่รู้จัก
• เปิดใช้ Soft Delete, Versioning, และ Immutable Blob เพื่อกู้คืนข้อมูลในกรณีที่ถูกลบหรือแก้ไขโดยไม่ตั้งใจ

แหล่งอ้างอิง

https://www.Microsoft.com/en-us/security/blog/2025/10/20/inside-the-attack-chain-threat-activity-targeting-azure-blob-storage/