El Actor de Amenazas Explota Microsoft Azure para Obtener Acceso a Máquinas Virtuales

La firma de ciberseguridad Mandiant rastreó a un atacante cibernético motivado financieramente llamado UNC3944 que está utilizando phishing y cambio de SIM para tomar el control de cuentas de administrador de Microsoft Azure y obtener acceso a las máquinas virtuales.

Según el informe de la firma de ciberseguridad Mandiant, UNC3944 ha estado activo desde mayo de 2022, y su actividad tiene como objetivo robar datos de la organización infectada utilizando la computación en la nube de Microsoft.

Además, el atacante UNC3944 ha sido previamente atribuido a la creación del kit de herramientas STONESTOP (Loader) y POORTRY (controlador de modo kernel) para detener el software de seguridad.

Los atacantes utilizan la Consola Serial de Azure para instalar software de gestión remota para persistencia y abusar de la Extensión de Azure para vigilancia secreta. El atacante abusó de cuentas de desarrollador de hardware de Microsoft robadas para firmar sus controladores de kernel.

Para aquellos que no lo saben, las Extensiones de Microsoft Azure son una característica y servicio adicional que proporciona configuración y tareas de automatización posteriores al desarrollo en las máquinas virtuales de Azure.

Ahora, el acceso inicial a las cuentas de Microsoft Azure se lleva a cabo utilizando las credenciales robadas obtenidas en phishing por SMS, algo habitual en UNC3944. Después de eso, los atacantes de amenazas se hacen pasar por el gerente al ponerse en contacto con el servicio de asistencia para engañarlos y hacer que envíen un código de restablecimiento de múltiples factores por SMS al número de teléfono de la víctima.

Aunque el actor de amenazas ya ha cambiado la SIM y la ha portado a su dispositivo, el atacante recibió el token 2FA sin que el objetivo se diera cuenta.

Leer: Ransomware Cactus Explotando Debilidad de VPN para Atacar Grandes Empresas

Sin embargo, la firma de ciberseguridad aún no ha descubierto cómo los actores de amenazas realizan la fase de cambio de SIM de su actividad. Casos anteriores han señalado que conocer el número de teléfono de la víctima y conspirar con empleados de telecomunicaciones poco éticos es suficiente para facilitar la portabilidad ilícita del número.

A medida que los atacantes establecen su huella en el entorno de Azure de la organización objetivo, el atacante utiliza los privilegios administrativos de la organización para recopilar información, modificar sus cuentas de Azure si es necesario o crear nuevas cuentas de Azure.

En esta fase, el atacante utiliza las Extensiones de Azure para ejecutar vigilancia y recopilar información, disfrazando su actividad maliciosa como tareas diarias y mezclándose con la rutina diaria. Dado que estas extensiones se utilizan dentro de las máquinas virtuales y generalmente se utilizan para propósitos auténticos, son tanto secretas como menos sospechosas.

El atacante UNC3944 abusa de las extensiones de diagnóstico integradas de Azure, como “CollectedGuestsLogs”, que se utilizó para recopilar archivos de registro del punto final comprometido. Además de esto, Mandiant ha encontrado pruebas de que el actor de amenazas intenta utilizar estas extensiones adicionales.

A continuación, UNC3944 utiliza la Consola Serial de Azure para obtener acceso a la consola administrativa de las máquinas virtuales y ejecutar comandos en un símbolo del sistema a través de un puerto serial.

En un informe, la firma de seguridad menciona que el método de ataque fue único en el sentido de que evitó muchos de los métodos de detección convencionales que están integrados en Azure y proporcionó al atacante acceso administrativo a las VMs.

Además, la firma de ciberseguridad observó que “whoami” es el primer comando que el invasor ejecuta para identificar al usuario actualmente conectado y recopilar suficiente información para avanzar en la explotación.

Los atacantes utilizan Powershell para aumentar su persistencia en las máquinas virtuales y luego instalar un par de herramientas de administración remota disponibles comercialmente.

Para mantener una presencia en las VMs, el atacante despliega frecuentemente un par de herramientas de administración remota disponibles comercialmente a través de PowerShell, lee el informe de la firma de ciberseguridad.

Bueno, la ventaja de estas herramientas es que son aplicaciones firmadas auténticamente y le dan al atacante acceso remoto sin notificar a muchos puntos finales en las plataformas de detección.

En la siguiente fase, UNC3944 crea un túnel SSH inverso al servidor C2 para mantener un acceso sigiloso y persistente a través de un canal seguro y evitar cualquier restricción de red y controles de seguridad.

UNC3944 configura el túnel inverso con reenvío de puertos, haciendo una conexión directa a la máquina virtual de Azure a través del Escritorio Remoto.

Por ejemplo, cualquier conexión entrante a un puerto de máquina remota 12345 se reenviaría al puerto 3389 del host local, que es (Puerto del Servicio de Protocolo de Escritorio Remoto).

Por último, los atacantes utilizan las credenciales de una cuenta de usuario infectada para iniciar sesión en la VM de Azure comprometida a través del shell inverso. Solo entonces proceden a expandir su control dentro del entorno comprometido, robando información crítica en el camino.

Los ataques rastreados por la firma de seguridad muestran que UNC3944 tiene un profundo conocimiento del entorno de Azure y de cómo pueden aprovechar las herramientas integradas para evitar la detección y habilidades de ingeniería social para realizar el cambio de SIM, lo que hace que el riesgo sea mucho mayor de lo que ya es.

Leer: ChatGPT Ahora Navega por Internet para Mejorar la Precisión en las Respuestas