위협 행위자가 Microsoft Azure를 악용하여 가상 머신에 접근하다

사이버 보안 회사 Mandiant는 피싱 및 SIM 스와핑을 사용하여 Microsoft Azure 관리자 계정을 제어하고 가상 머신에 접근하는 재정적 동기를 가진 사이버 공격자 UNC3944를 추적했습니다.

사이버 보안 회사 Mandian의 보고서에 따르면, UNC3944는 2022년 5월부터 활동을 시작했으며, 그들의 활동은 Microsoft 클라우드 컴퓨팅을 사용하여 감염된 조직의 데이터를 훔치는 것을 목표로 하고 있습니다.

또한, 공격자 UNC3944는 보안 소프트웨어를 중단하기 위해 STONESTOP(로더) 및 POORTRY(커널 모드 드라이버) 툴킷을 생성한 것으로 이전에 알려져 있습니다.

공격자들은 Azure Serial Console을 이용하여 원격 관리 소프트웨어를 설치하여 지속성을 유지하고 Azure Extension을 남몰래 감시하는 데 악용합니다. 공격자는 도난당한 Microsoft 하드웨어 개발자 계정을 악용하여 자신의 커널 드라이버에 서명했습니다.

모르는 분들을 위해, Microsoft Azure Extensions는 Azure의 가상 머신에서 개발 후 구성 및 자동화 작업을 제공하는 추가 기능 및 서비스입니다.

현재 Microsoft Azure 계정에 대한 초기 접근은 SMS 피싱을 통해 얻은 도난당한 자격 증명을 사용하여 이루어집니다. 이는 일반적인 UNC3944의 방식입니다. 그 후, 위협 공격자는 헬프 데스크와 연락할 때 관리자를 가장하여 피해자의 전화번호로 SMS를 통해 다중 인증 재설정 코드를 보내도록 속입니다.

위협 행위자는 이미 SIM을 스와핑하고 자신의 장치로 포팅했지만, 공격자는 대상이 이를 인식하지 못한 채 2FA 토큰을 수신했습니다.

읽기: Cactus 랜섬웨어가 VPN 취약점을 악용하여 대기업을 타겟으로 삼다

그러나 사이버 보안 회사는 위협 행위자가 활동의 SIM 스와핑 단계를 수행하는 방법을 아직 발견하지 못했습니다. 이전 사례들은 피해자의 전화번호를 알고 비윤리적인 통신 직원과 공모하는 것이 불법적인 번호 포팅을 촉진하는 데 충분하다는 점을 지적했습니다.

공격자들이 목표 조직의 Azure 환경에 발자국을 남기면서, 공격자는 조직의 관리 권한을 사용하여 정보를 수집하고 필요에 따라 Azure 계정을 수정하거나 새로운 Azure 계정을 생성합니다.

이 단계에서 공격자는 Azure Extensions를 사용하여 감시를 수행하고 정보를 수집하며, 자신의 악의적인 활동을 일상적인 작업으로 가장하고 일상적인 루틴과 혼합합니다. 이러한 확장은 가상 머신 내에서 사용되며 일반적으로 인증된 목적으로 사용되기 때문에 비밀스럽고 덜 의심스럽습니다.

공격자 UNC3944는 침해된 엔드포인트에서 로그 파일을 수집하기 위해 사용된 “CollectedGuestsLogs”와 같은 내장 Azure 진단 확장을 악용합니다. 이와 더불어, Mandiant는 위협 행위자가 이러한 추가 확장을 사용하려고 시도한 증거를 발견했습니다.

다음으로, UNC3944는 Azure Serial Console을 사용하여 가상 머신에 대한 관리 콘솔 접근을 얻고 직렬 포트를 통해 명령을 실행합니다.

보고서에서 보안 회사는 공격 방법이 Azure에 내장된 많은 전통적인 탐지 방법을 피하고 공격자에게 VM에 대한 관리 접근을 제공하는 독특한 방식이라고 언급했습니다.

더욱이, 사이버 보안 회사는 “whoami”가 침입자가 현재 로그인한 사용자를 식별하고 추가적인 악용을 위한 충분한 정보를 수집하기 위해 수행하는 첫 번째 명령이라고 관찰했습니다.

공격자들은 Powershell을 사용하여 가상 머신에서 지속성을 높이고 상용 원격 관리 도구를 몇 개 설치합니다.

VM에서 존재감을 유지하기 위해 공격자는 PowerShell을 통해 상용 원격 관리 도구를 몇 개 자주 배포한다고 사이버 보안 회사 보고서는 전합니다.

이 도구들의 장점은 인증된 서명 응용 프로그램이며, 탐지 플랫폼의 많은 엔드포인트에 알리지 않고 공격자에게 원격 접근을 제공합니다.

다음 단계에서 UNC3944는 C2 서버에 대한 역 SSH 터널을 생성하여 안전한 채널을 통해 은밀하고 지속적인 접근을 유지하고 네트워크 제한 및 보안 통제를 피합니다.

UNC3944는 포트 포워딩으로 역 터널을 구성하여 원격 데스크톱을 통해 Azure 가상 머신에 직접 연결합니다.

예를 들어, 원격 머신의 포트 12345로 들어오는 모든 연결은 로컬 호스트 포트 3389로 포워딩됩니다. 이는 (원격 데스크톱 프로토콜 서비스 포트)입니다.

마지막으로, 공격자들은 감염된 사용자 계정의 자격 증명을 사용하여 역 셸을 통해 손상된 Azure VM에 로그인합니다. 그들은 그 후 침해된 환경 내에서 자신의 통제를 확장하며 중요한 정보를 훔칩니다.

보안 회사가 추적한 공격들은 UNC3944가 Azure 환경에 대한 깊은 이해를 가지고 있으며, 탐지를 피하기 위해 내장 도구를 활용하고 SIM 스와핑을 수행하기 위한 사회 공학 기술을 사용하여 위험을 더욱 증가시킨다는 것을 보여줍니다.

읽기: ChatGPT가 응답의 정확성을 높이기 위해 이제 인터넷을 탐색합니다.