L'acteur de la menace exploite Microsoft Azure pour accéder aux machines virtuelles

La société de cybersécurité Mandiant a retracé un attaquant cybernétique motivé par des raisons financières nommé UNC3944 qui utilise le phishing et le swapping de SIM pour prendre le contrôle des comptes administratifs Microsoft Azure afin d’accéder aux machines virtuelles.

Selon le rapport de la société de cybersécurité Mandiant, UNC3944 est actif depuis mai 2022, et son activité vise à voler des données de l’organisation infectée en utilisant l’informatique en nuage de Microsoft.

De plus, l’attaquant UNC3944 a déjà été attribué à la création des outils STONESTOP (Loader) et POORTRY (pilote en mode noyau) pour arrêter les logiciels de sécurité.

Les attaquants utilisent la console série Azure pour installer des logiciels de gestion à distance pour la persistance et abusent de l’extension Azure pour une surveillance secrète. L’attaquant a abusé des comptes de développeur matériel Microsoft volés pour signer ses pilotes de noyau.

Pour ceux qui ne le savent pas, les extensions Microsoft Azure sont une fonctionnalité et un service supplémentaires qui fournissent des tâches de configuration et d’automatisation post-développement sur les machines virtuelles Azure.

Maintenant, l’accès initial aux comptes Microsoft Azure se fait en utilisant les identifiants volés obtenus par phishing SMS, une méthode habituelle d’UNC3944. Après cela, les attaquants se font passer pour le responsable lorsqu’ils contactent le service d’assistance pour les tromper en leur envoyant un code de réinitialisation multi-facteurs par SMS au numéro de téléphone de la victime.

Bien que l’acteur de la menace ait déjà échangé la SIM et l’ait transférée sur son appareil, l’attaquant a reçu le jeton 2FA sans que la cible ne s’en rende compte.

Lire : Cactus Ransomware exploitant la faiblesse des VPN pour cibler les grandes entreprises

Cependant, la société de cybersécurité n’a pas encore découvert comment les acteurs de la menace réalisent la phase de swapping de SIM de leur activité. Des cas précédents ont montré que connaître le numéro de téléphone de la victime et comploter avec des employés de télécommunications peu éthiques est suffisant pour faciliter un portage de numéro illicite.

Alors que les attaquants établissent leur empreinte dans l’environnement Azure de l’organisation cible, l’attaquant utilise les privilèges administratifs de l’organisation pour collecter des informations, modifier ses comptes Azure si nécessaire ou créer de nouveaux comptes Azure.

À cette étape, l’attaquant utilise les extensions Azure pour mener des surveillances et collecter des informations, déguisant son activité malveillante en tâches quotidiennes et se mêlant à la routine quotidienne. Étant donné que ces extensions sont utilisées à l’intérieur des machines virtuelles et sont généralement utilisées à des fins authentiques, elles sont à la fois secrètes et moins suspectes.

L’attaquant UNC3944 abuse des extensions de diagnostic Azure intégrées telles que “CollectedGuestsLogs”, qui ont été utilisées pour rassembler des fichiers journaux à partir du point d’extrémité compromis. En outre, Mandiant a trouvé des preuves que l’acteur de la menace tentait d’utiliser ces extensions supplémentaires.

Ensuite, UNC3944 utilise la console série Azure pour obtenir un accès à la console administrative des machines virtuelles et exécuter des commandes sur un invite de commande via un port série.

Dans un rapport, la société de sécurité mentionne que la méthode d’attaque était unique en ce qu’elle évitait de nombreux moyens de détection conventionnels intégrés à Azure et fournissait à l’attaquant un accès administratif aux VM.

De plus, la société de cybersécurité a observé que “whoami” est la première commande que l’envahisseur exécute pour identifier l’utilisateur actuellement connecté et collecter suffisamment d’informations pour poursuivre l’exploitation.

Les attaquants utilisent Powershell pour augmenter leur persistance sur les machines virtuelles et installent ensuite quelques outils d’administration à distance disponibles dans le commerce.

Pour maintenir une présence sur les VM, l’attaquant déploie fréquemment quelques outils d’administration à distance disponibles dans le commerce via PowerShell, lit le rapport de la société de cybersécurité.

Eh bien, l’avantage de ces outils est qu’ils sont des applications signées authentiques et donnent à l’attaquant un accès à distance sans notifier de nombreux points de terminaison dans les plateformes de détection.

Dans la phase suivante, UNC3944 crée un tunnel SSH inversé vers le serveur C2 pour maintenir un accès furtif et persistant via un canal sécurisé et éviter toute restriction réseau et contrôle de sécurité.

UNC3944 configure le tunnel inversé avec un transfert de port, établissant une connexion directe à la machine virtuelle Azure via le Bureau à distance.

Par exemple, toute connexion entrante à un port de machine distante 12345 serait transférée au port hôte local 3389, c’est-à-dire (port de service du protocole Bureau à distance).

Enfin, les attaquants utilisent les identifiants d’un compte utilisateur infecté pour se connecter à la VM Azure compromise via le shell inversé. Ils ne procèdent alors qu’à étendre leur contrôle au sein de l’environnement compromis, volant des informations critiques en cours de route.

Les attaques suivies par la société de sécurité montrent qu’UNC3944 a une compréhension approfondie de l’environnement Azure et de la manière dont ils peuvent tirer parti des outils intégrés pour éviter la détection et des compétences en ingénierie sociale pour effectuer le swapping de SIM, ce qui augmente considérablement le risque déjà présent.

Lire : ChatGPT navigue désormais sur Internet pour une meilleure précision dans les réponses