サイバーセキュリティ · 1 min read · Sep 15, 2025

マイクロソフトAzureを悪用して仮想マシンにアクセスする脅威アクター

インターネットセキュリティ

サイバーセキュリティ企業Mandiantは、フィッシングとSIMスワッピングを使用してマイクロソフトAzure管理アカウントを制御し、仮想マシンにアクセスする金銭的動機を持つサイバー攻撃者UNC3944を追跡しました。

サイバーセキュリティ企業Mandiantの報告によると、UNC3944は2022年5月から活動しており、その活動はマイクロソフトのクラウドコンピューティングを使用して感染した組織からデータを盗むことを目的としています。

また、攻撃者UNC3944は、セキュリティソフトウェアを停止させるためのSTONESTOP(ローダー)およびPOORTRY(カーネルモードドライバー)ツールキットの作成に以前から関連付けられています。

攻撃者はAzureシリアルコンソールを利用して、持続性のためにリモート管理ソフトウェアをインストールし、秘密裏の監視のためにAzure拡張機能を悪用します。攻撃者は盗まれたマイクロソフトハードウェア開発者アカウントを使用して、カーネルドライバーに署名しました。

マイクロソフトAzure拡張機能は、Azureの仮想マシン上での開発後の構成と自動化タスクを提供するアドオン機能およびサービスです。

現在、マイクロソフトAzureアカウントへの初期アクセスは、通常のUNC3944によるSMSフィッシングで得た盗まれた資格情報を使用して行われます。その後、脅威攻撃者はヘルプデスクに連絡する際にマネージャーを装い、被害者の電話番号にSMSで多要素リセットコードを送信させるように騙します。

攻撃者はすでにSIMをスワッピングし、自分のデバイスにポートを移動させていますが、攻撃者はターゲットが気づかないうちに2FAトークンを受け取りました。

読む: CactusランサムウェアがVPNの脆弱性を悪用して大企業を標的に

しかし、サイバーセキュリティ企業は、脅威アクターが活動のSIMスワッピングフェーズをどのように行うかをまだ発見していません。以前のケースでは、被害者の電話番号を知り、不正な通信会社の従業員と共謀することが不正な番号ポートを促進するのに十分であることが指摘されています。

攻撃者がターゲット組織のAzure環境に足跡を残すと、攻撃者は組織の管理権限を使用して情報を収集し、必要に応じてAzureアカウントを変更したり、新しいAzureアカウントを作成したりします。

マイクロソフトAzureを悪用して仮想マシンにアクセスする脅威アクター 1

このフェーズでは、攻撃者はAzure拡張機能を利用して監視を行い、情報を収集し、日常業務として悪意のある活動を隠し、日常のルーチンと混同させます。これらの拡張機能は仮想マシン内で使用され、通常は正当な目的で使用されるため、秘密裏であり、疑わしさが少ないです。

攻撃者UNC3944は、「CollectedGuestsLogs」などの組み込みのAzure診断拡張機能を悪用し、侵害されたエンドポイントからログファイルを収集するために利用しました。これに加えて、Mandiantは脅威アクターがこれらの追加の拡張機能を利用しようとしている証拠を発見しました。

マイクロソフトAzureを悪用して仮想マシンにアクセスする脅威アクター 2

次に、UNC3944はAzureシリアルコンソールを使用して仮想マシンへの管理コンソールアクセスを取得し、シリアルポート経由でコマンドを実行します。

報告書では、攻撃の手法はユニークであり、Azureに組み込まれた多くの従来の検出方法を回避し、攻撃者にVMへの管理アクセスを提供したと述べています。

さらに、サイバーセキュリティ企業は、「whoami」が侵入者が現在ログインしているユーザーを特定し、さらなる悪用のために十分な情報を収集するために最初に実行するコマンドであることを観察しました。

マイクロソフトAzureを悪用して仮想マシンにアクセスする脅威アクター 3

攻撃者はPowershellを使用して仮想マシン上での持続性を高め、その後、いくつかの市販のリモート管理ツールをインストールします。

VM上に存在を維持するために、攻撃者はPowershellを介していくつかの市販のリモート管理ツールを頻繁に展開しますと、サイバーセキュリティ企業の報告は述べています。

これらのツールの利点は、正当な署名されたアプリケーションであり、検出プラットフォームの多くのエンドポイントに通知することなく攻撃者にリモートアクセスを提供することです。

次のフェーズでは、UNC3944はC2サーバーへのリバースSSHトンネルを作成し、安全なチャネルを介して隠密かつ持続的なアクセスを維持し、ネットワーク制限やセキュリティコントロールを回避します。

UNC3944はポートフォワーディングでリバーストンネルを構成し、リモートデスクトップを介してAzure仮想マシンへの直接接続を確立します。

たとえば、リモートマシンのポート12345へのすべての着信接続は、ローカルホストのポート3389(リモートデスクトッププロトコルサービスポート)に転送されます。

最後に、攻撃者は感染したユーザーアカウントの資格情報を使用して、リバースシェルを介して侵害されたAzure VMにログインします。その後、侵害された環境内での制御を拡大し、重要な情報を盗むことを進めます。

セキュリティ企業によって追跡された攻撃は、UNC3944がAzure環境を深く理解しており、検出を回避するために組み込みツールを利用し、SIMスワッピングを実行するためのソーシャルエンジニアリングスキルを持っていることを示しており、リスクはすでに大きいものよりもさらに大きくなっています。

読む: ChatGPTがより正確な応答のためにインターネットを閲覧するようになりました

Share: X/Twitter LinkedIn
#サイバーセキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。