Bedrohungsakteur nutzt Microsoft Azure aus, um Zugriff auf virtuelle Maschinen zu erhalten

Die Cyber-Sicherheitsfirma Mandiant hat einen finanziell motivierten Cyber-Angreifer namens UNC3944 zurückverfolgt, der Phishing und SIM-Swapping einsetzt, um die Kontrolle über Microsoft Azure-Administratorkonten zu erlangen und Zugriff auf die virtuellen Maschinen zu erhalten.

Laut dem Bericht der Cyber-Sicherheitsfirma Mandiant ist UNC3944 seit Mai 2022 aktiv, und ihre Aktivitäten zielen darauf ab, Daten von der infizierten Organisation unter Verwendung von Microsoft Cloud-Computing zu stehlen.

Außerdem wurde der Angreifer UNC3944 zuvor mit der Erstellung des STONESTOP (Loader) und POORTRY (Kernel-Modus-Treiber) Toolkits in Verbindung gebracht, um Sicherheitssoftware zu stoppen.

Die Angreifer nutzen die Azure Serial Console, um Remote-Management-Software für Persistenz zu installieren und missbrauchen die Azure-Erweiterung für geheime Überwachung. Der Angreifer hat gestohlene Microsoft-Hardware-Entwicklerkonten missbraucht, um ihre Kernel-Treiber zu signieren.

Für diejenigen, die es nicht wissen: Microsoft Azure Extensions ist eine Zusatzfunktion und ein Dienst, der Konfigurations- und Automatisierungsaufgaben nach der Entwicklung auf den virtuellen Maschinen von Azure bereitstellt.

Der erste Zugriff auf die Microsoft Azure-Konten erfolgt nun über die gestohlenen Anmeldeinformationen, die durch SMS-Phishing erlangt wurden, was für UNC3944 üblich ist. Danach geben sich die Bedrohungsakteure als Manager aus, wenn sie mit dem Helpdesk in Kontakt treten, um sie zu täuschen, einen Multi-Faktor-Reset-Code per SMS an die Telefonnummer des Opfers zu senden.

Obwohl der Bedrohungsakteur bereits die SIM gewechselt und auf sein Gerät portiert hat, erhielt der Angreifer das 2FA-Token, ohne dass das Ziel es bemerkte.

Lesen: Cactus Ransomware nutzt VPN-Schwächen aus, um große Unternehmen ins Visier zu nehmen

Die Cyber-Sicherheitsfirma hat jedoch noch nicht herausgefunden, wie die Bedrohungsakteure die SIM-Swapping-Phase ihrer Aktivitäten durchführen. Frühere Fälle haben gezeigt, dass es ausreicht, die Telefonnummer des Opfers zu kennen und mit unethischen Telekommitarbeitern zu planen, um einen illegalen Nummernport zu erleichtern.

Während die Angreifer ihren Fußabdruck in der Azure-Umgebung der Zielorganisation einrichten, nutzt der Angreifer die administrativen Privilegien der Organisation, um Informationen zu sammeln, ihre Azure-Konten bei Bedarf zu ändern oder neue Azure-Konten zu erstellen.

In dieser Phase nutzt der Angreifer Azure Extensions, um Überwachung durchzuführen und Informationen zu sammeln, indem er seine böswilligen Aktivitäten als tägliche Aufgaben tarnt und sich mit der täglichen Routine vermischt. Da diese Erweiterungen innerhalb der virtuellen Maschinen verwendet werden und normalerweise für authentische Zwecke genutzt werden, sind sie sowohl geheim als auch weniger verdächtig.

Der Angreifer UNC3944 missbraucht die integrierten Azure-Diagnoseerweiterungen wie “CollectedGuestsLogs”, die zum Sammeln von Protokolldateien vom kompromittierten Endpunkt verwendet wurden. Darüber hinaus hat Mandiant Beweise dafür gefunden, dass der Bedrohungsakteur versucht hat, diese zusätzlichen Erweiterungen zu nutzen.

Als Nächstes verwendet UNC3944 die Azure Serial Console, um administrativen Konsolenzugriff auf virtuelle Maschinen zu erhalten und Befehle über eine Eingabeaufforderung über einen seriellen Port auszuführen.

In einem Bericht erwähnt die Sicherheitsfirma, dass die Methode der Angriffe einzigartig war, da sie viele der konventionellen Erkennungsmethoden, die in Azure integriert sind, umging und dem Angreifer administrativen Zugriff auf die VMs gewährte.

Darüber hinaus beobachtete die Cyber-Sicherheitsfirma, dass “whoami” der erste Befehl ist, den der Eindringling ausführt, um den derzeit angemeldeten Benutzer zu identifizieren und genügend Informationen zu sammeln, um die Ausbeutung weiter voranzutreiben.

Die Angreifer verwenden Powershell, um ihre Persistenz auf virtuellen Maschinen zu erhöhen, und installieren dann einige kommerziell verfügbare Remote-Administrator-Tools.

Um eine Präsenz auf den VMs aufrechtzuerhalten, setzt der Angreifer häufig einige kommerziell verfügbare Remote-Administrator-Tools über PowerShell ein, berichtet die Cyber-Sicherheitsfirma.

Der Vorteil dieser Tools besteht darin, dass es sich um authentisch signierte Anwendungen handelt, die dem Angreifer Remote-Zugriff gewähren, ohne viele Endpunkte in den Erkennungsplattformen zu benachrichtigen.

In der nächsten Phase erstellt UNC3944 einen umgekehrten SSH-Tunnel zum C2-Server, um einen stealthy und persistente Zugriff über einen sicheren Kanal aufrechtzuerhalten und alle Netzwerkbeschränkungen und Sicherheitskontrollen zu vermeiden.

UNC3944 konfiguriert den umgekehrten Tunnel mit Portweiterleitung, wodurch eine direkte Verbindung zur Azure-virtuellen Maschine über den Remote Desktop hergestellt wird.

Zum Beispiel würde jede eingehende Verbindung zu einem Remote-Maschinenport 12345 an den lokalen Hostport 3389 weitergeleitet, das ist (RemoteDesktop-Protokolldienstport).

Schließlich nutzen die Angreifer die Anmeldeinformationen eines infizierten Benutzerkontos, um sich über die umgekehrte Shell in die kompromittierte Azure-VM einzuloggen. Erst dann fahren sie fort, ihre Kontrolle innerhalb der kompromittierten Umgebung auszubauen und dabei kritische Informationen zu stehlen.

Die von der Sicherheitsfirma verfolgten Angriffe zeigen, dass UNC3944 ein tiefes Verständnis der Azure-Umgebung hat und wie sie integrierte Tools nutzen können, um Erkennung zu vermeiden, sowie soziale Ingenieurfähigkeiten, um SIM-Swapping durchzuführen, was das Risiko viel größer macht, als es bereits ist.

Lesen: ChatGPT durchsucht jetzt das Internet für bessere Genauigkeit in den Antworten