Ator de Ameaça Explora Microsoft Azure para Ganhar Acesso a Máquinas Virtuais

A empresa de cibersegurança Mandiant rastreou um atacante cibernético motivado financeiramente chamado UNC3944, que está usando phishing e troca de SIM para assumir o controle das contas de administrador do Microsoft Azure e ganhar acesso às máquinas virtuais.

De acordo com o relatório da empresa de cibersegurança Mandiant, o UNC3944 está ativo desde maio de 2022, e sua atividade visa roubar dados da organização infectada usando a computação em nuvem da Microsoft.

Além disso, o atacante UNC3944 já foi atribuído anteriormente à criação do kit de ferramentas STONESTOP (Loader) e POORTRY (driver em modo kernel) para interromper softwares de segurança.

Os atacantes utilizam o Console Serial do Azure para instalar software de gerenciamento remoto para persistência e abusam da Extensão do Azure para vigilância secreta. O atacante abusou de contas de desenvolvedor de hardware da Microsoft roubadas para assinar seus drivers de kernel.

Para aqueles que não sabem, as Extensões do Microsoft Azure são um recurso e serviço adicional que fornece configuração pós-desenvolvimento e tarefas de automação nas máquinas virtuais do Azure.

Agora, o acesso inicial às contas do Microsoft Azure ocorre usando as credenciais roubadas obtidas em phishing via SMS, um método usual do UNC3944. Depois disso, os atacantes se passam pelo gerente ao entrar em contato com o suporte técnico para enganá-los a enviar um código de redefinição de múltiplos fatores via SMS para o número de telefone da vítima.

Embora o ator de ameaça já tenha trocado o SIM e portado para seu dispositivo, o atacante recebeu o token 2FA sem que o alvo percebesse.

Leia: Cactus Ransomware Explorando Vulnerabilidade de VPN para Alvo em Grandes Empresas

No entanto, a empresa de cibersegurança ainda não descobriu como os atores de ameaça realizam a fase de troca de SIM de sua atividade. Casos anteriores apontaram que conhecer o número de telefone da vítima e conspirar com funcionários de telecomunicações antiéticos é suficiente para facilitar a portabilidade ilícita do número.

À medida que os atacantes estabelecem sua presença no ambiente Azure da organização-alvo, o atacante usa os privilégios administrativos da organização para coletar informações, modificar suas contas do Azure, se necessário, ou criar novas contas do Azure.

Nesta fase, o atacante utiliza as Extensões do Azure para realizar vigilância e coletar informações, disfarçando sua atividade maliciosa como tarefas diárias e misturando-se com a rotina diária. Como essas extensões são utilizadas dentro das máquinas virtuais e geralmente são usadas para fins autênticos, são tanto secretivas quanto menos suspeitas.

O atacante UNC3944 abusa das extensões de diagnóstico integradas do Azure, como “CollectedGuestsLogs”, que foram utilizadas para coletar arquivos de log do endpoint comprometido. Além disso, a Mandiant encontrou provas de que o ator de ameaça estava tentando utilizar essas extensões adicionais.

Em seguida, o UNC3944 usa o Console Serial do Azure para obter acesso ao console administrativo das máquinas virtuais e executar comandos em um prompt de comando através de uma porta serial.

Em um relatório, a empresa de segurança menciona que o método de ataques era único, pois evitava muitos dos métodos de detecção convencionais que estão integrados ao Azure e fornecia ao atacante acesso administrativo às VMs.

Além disso, a empresa de cibersegurança observou que “whoami” é o primeiro comando que o invasor executa para identificar o usuário atualmente logado e coletar informações suficientes para avançar na exploração.

Os atacantes usam Powershell para aumentar sua persistência nas máquinas virtuais e, em seguida, instalam algumas ferramentas de administrador remoto disponíveis comercialmente.

Para manter uma presença nas VMs, o atacante frequentemente implanta algumas ferramentas de administrador remoto disponíveis comercialmente via PowerShell, lê o relatório da empresa de cibersegurança.

Bem, a vantagem dessas ferramentas é que são aplicações autenticadas e assinadas, permitindo que o atacante tenha acesso remoto sem notificar muitos endpoints nas plataformas de detecção.

Na próxima fase, o UNC3944 cria um túnel SSH reverso para o servidor C2 para manter acesso furtivo e persistente através de um canal seguro e evitar quaisquer restrições de rede e controles de segurança.

O UNC3944 configura o túnel reverso com encaminhamento de porta, fazendo uma conexão direta à máquina virtual do Azure via Área de Trabalho Remota.

Por exemplo, qualquer conexão de entrada a uma porta de máquina remota 12345 seria encaminhada para a porta 3389 do host local, que é (Porta do Serviço de Protocolo de Área de Trabalho Remota).

Por fim, os atacantes utilizam as credenciais de uma conta de usuário infectada para fazer login na VM do Azure comprometida via shell reverso. Somente então eles prosseguem para expandir seu controle dentro do ambiente comprometido, roubando informações críticas ao longo do caminho.

Os ataques rastreados pela empresa de segurança mostram que o UNC3944 tem um profundo entendimento do ambiente Azure e de como pode aproveitar ferramentas integradas para evitar detecção e habilidades de engenharia social para realizar a troca de SIM, o que torna o risco muito maior do que já é.

Leia: ChatGPT Agora Navega na Internet para Melhor Precisão nas Respostas