Attore Maligno Sfrutta Microsoft Azure per Accedere a Macchine Virtuali

La società di sicurezza informatica Mandiant ha tracciato un attaccante informatico motivato finanziariamente chiamato UNC3944 che utilizza phishing e SIM swapping per prendere il controllo degli account amministrativi di Microsoft Azure e accedere alle macchine virtuali.

Secondo il rapporto della società di sicurezza informatica Mandiant, UNC3944 è attivo dal maggio 2022 e la loro attività mira a rubare dati dall’organizzazione infetta utilizzando il cloud computing di Microsoft.

Inoltre, l’attaccante UNC3944 è stato precedentemente attribuito alla creazione del toolkit STONESTOP (Loader) e POORTRY (driver in modalità kernel) per fermare il software di sicurezza.

Gli attaccanti utilizzano la Console Seriale di Azure per installare software di gestione remota per la persistenza e abusano delle Estensioni di Azure per la sorveglianza segreta. L’attaccante ha abusato di account sviluppatori hardware Microsoft rubati per firmare i propri driver kernel.

Per chi non lo sapesse, le Estensioni di Microsoft Azure sono una funzionalità e servizio aggiuntivo che fornisce configurazione post-sviluppo e compiti di automazione sulle macchine virtuali di Azure.

Ora, l’accesso iniziale agli account Microsoft Azure avviene utilizzando le credenziali rubate ottenute tramite phishing SMS, un metodo abituale di UNC3944. Dopo di che, gli attaccanti impersonano il manager quando contattano il servizio di assistenza per ingannarli e far inviare un codice di reset multi-fattore via SMS al numero di telefono della vittima.

Sebbene l’attore minaccioso abbia già scambiato la SIM e l’abbia portata sul proprio dispositivo, l’attaccante ha ricevuto il token 2FA senza che il bersaglio se ne rendesse conto.

Leggi: Cactus Ransomware Sfrutta la Vulnerabilità VPN per Colpire Grandi Imprese

Tuttavia, la società di sicurezza informatica deve ancora scoprire come gli attori minacciosi eseguono la fase di SIM swapping della loro attività. Casi precedenti hanno evidenziato che conoscere il numero di telefono della vittima e collaborare con dipendenti telecom non etici è sufficiente per facilitare il porting illecito del numero.

Mentre gli attaccanti stabiliscono la loro impronta nell’ambiente Azure dell’organizzazione bersaglio, l’attaccante utilizza i privilegi amministrativi dell’organizzazione per raccogliere informazioni, modificare i propri account Azure se necessario o creare nuovi account Azure.

In questa fase, l’attaccante utilizza le Estensioni di Azure per eseguire sorveglianza e raccogliere informazioni, mascherando la propria attività malevola come compiti quotidiani e mescolandosi con la routine quotidiana. Poiché queste estensioni sono utilizzate all’interno delle macchine virtuali e sono solitamente usate per scopi autentici, sono sia segrete che meno sospette.

L’attaccante UNC3944 abusa delle estensioni diagnostiche integrate di Azure come “CollectedGuestsLogs”, che è stata utilizzata per raccogliere file di log dal punto di accesso compromesso. Inoltre, Mandiant ha trovato prove che l’attore minaccioso stava cercando di utilizzare queste estensioni aggiuntive.

Successivamente, UNC3944 utilizza la Console Seriale di Azure per ottenere accesso alla console amministrativa delle macchine virtuali ed eseguire comandi su un prompt dei comandi tramite una porta seriale.

In un rapporto, la società di sicurezza menziona che il metodo di attacco era unico in quanto evitava molti dei metodi di rilevamento convenzionali integrati in Azure e forniva all’attaccante accesso amministrativo alle VM.

Inoltre, la società di sicurezza informatica ha osservato che “whoami” è il primo comando che l’invasore esegue per identificare l’utente attualmente connesso e raccogliere informazioni sufficienti per proseguire con lo sfruttamento.

Gli attaccanti utilizzano Powershell per aumentare la loro persistenza sulle macchine virtuali e poi installano un paio di strumenti di amministrazione remota disponibili in commercio.

Per mantenere una presenza sulle VM, l’attaccante distribuisce frequentemente un paio di strumenti di amministrazione remota disponibili in commercio tramite PowerShell, legge il rapporto della società di sicurezza informatica.

Bene, il vantaggio di questi strumenti è che sono applicazioni firmate autentiche e forniscono all’attaccante accesso remoto senza notificare molti endpoint nelle piattaforme di rilevamento.

Nella fase successiva, UNC3944 crea un tunnel SSH inverso verso il server C2 per mantenere un accesso furtivo e persistente tramite un canale sicuro ed evitare qualsiasi restrizione di rete e controlli di sicurezza.

UNC3944 configura il tunnel inverso con il port forwarding, creando una connessione diretta alla macchina virtuale Azure tramite il Desktop Remoto.

Ad esempio, qualsiasi connessione in arrivo a una porta della macchina remota 12345 verrebbe inoltrata alla porta locale 3389, che è (porta del servizio RemoteDesktop Protocol).

Infine, gli attaccanti utilizzano le credenziali di un account utente infetto per accedere alla VM Azure compromessa tramite la shell inversa. Solo allora procedono ad espandere il loro controllo all’interno dell’ambiente compromesso, rubando informazioni critiche lungo il cammino.

Gli attacchi tracciati dalla società di sicurezza mostrano che UNC3944 ha una profonda comprensione dell’ambiente Azure e di come possono sfruttare gli strumenti integrati per evitare il rilevamento e le abilità di ingegneria sociale per eseguire il SIM swapping, il che rende il rischio molto più grande di quanto già non sia.

Leggi: ChatGPT Ora Naviga su Internet per Maggiore Accuratezza nelle Risposte