Злоумышленник использует Microsoft Azure для получения доступа к виртуальным машинам

Кибербезопасная компания Mandiant проследила за финансово мотивированным кибератакующим по имени UNC3944, который использует фишинг и подмену SIM-карт для получения контроля над учетными записями администраторов Microsoft Azure с целью доступа к виртуальным машинам.

Согласно отчету кибербезопасной компании Mandiant, UNC3944 активен с мая 2022 года, и их деятельность направлена на кражу данных из зараженной организации с использованием облачных вычислений Microsoft.

Кроме того, злоумышленник UNC3944 ранее был связан с созданием инструментов STONESTOP (Loader) и POORTRY (драйвер в режиме ядра) для блокировки программного обеспечения безопасности.

Злоумышленники используют Azure Serial Console для установки программного обеспечения удаленного управления для обеспечения постоянного доступа и злоупотребляют Azure Extension для скрытного наблюдения. Злоумышленник использовал украденные учетные записи разработчиков аппаратного обеспечения Microsoft для подписания своих драйверов ядра.

Для тех, кто не знает, Microsoft Azure Extensions — это дополнительная функция и сервис, который предоставляет конфигурацию после разработки и автоматизацию задач на виртуальных машинах Azure.

Теперь первоначальный доступ к учетным записям Microsoft Azure осуществляется с использованием украденных учетных данных, полученных в результате SMS-фишинга, что является обычным делом для UNC3944. После этого злоумышленники выдают себя за менеджера, связываясь со службой поддержки, чтобы обманом заставить их отправить код сброса многофакторной аутентификации по SMS на номер телефона жертвы.

Хотя злоумышленник уже подменил SIM-карту и перенес ее на свое устройство, атакующий получил токен 2FA, не дав жертве понять, что это произошло.

Читать: Cactus Ransomware использует уязвимость VPN для атаки на крупные предприятия

Тем не менее, кибербезопасная компания еще не выяснила, как злоумышленники осуществляют фазу подмены SIM-карт в своей деятельности. Предыдущие случаи показали, что знание номера телефона жертвы и сговор с неэтичными сотрудниками телекоммуникационной компании достаточно для осуществления незаконной переноса номера.

Поскольку злоумышленники устанавливают свои следы в среде Azure целевой организации, атакующий использует административные привилегии организации для сбора информации, изменения своих учетных записей Azure при необходимости или создания новых учетных записей Azure.

На этом этапе злоумышленник использует Azure Extensions для проведения наблюдения и сбора информации, маскируя свою злонамеренную деятельность под повседневные задачи и смешиваясь с повседневной рутиной. Поскольку эти расширения используются внутри виртуальных машин и обычно применяются для аутентичных целей, они являются как скрытными, так и менее подозрительными.

Злоумышленник UNC3944 злоупотребляет встроенными диагностическими расширениями Azure, такими как “CollectedGuestsLogs”, которые использовались для сбора файлов журналов с нарушенной конечной точки. В дополнение к этому, Mandiant нашел доказательства того, что злоумышленник пытался использовать эти дополнительные расширения.

Далее, UNC3944 использует Azure Serial Console для получения доступа к административной консоли виртуальных машин и выполнения команд в командной строке через последовательный порт.

В отчете компания безопасности упоминает, что метод атак был уникальным тем, что он избегал многих традиционных методов обнаружения, встроенных в Azure, и предоставлял злоумышленнику административный доступ к виртуальным машинам.

Кроме того, кибербезопасная компания наблюдала, что “whoami” — это первая команда, которую выполняет захватчик, чтобы определить текущего вошедшего пользователя и собрать достаточно информации для дальнейшей эксплуатации.

Злоумышленники используют Powershell для увеличения своей устойчивости на виртуальных машинах и затем устанавливают несколько коммерчески доступных инструментов удаленного администратора.

Чтобы поддерживать свое присутствие на виртуальных машинах, злоумышленник часто разворачивает несколько коммерчески доступных инструментов удаленного администратора через PowerShell, сообщает кибербезопасная компания.

Преимущество этих инструментов заключается в том, что это подлинные подписанные приложения, которые предоставляют злоумышленнику удаленный доступ, не уведомляя многие конечные точки в платформах обнаружения.

На следующем этапе UNC3944 создает обратный SSH-туннель к серверу C2, чтобы сохранить скрытный и постоянный доступ через безопасный канал и избежать любых сетевых ограничений и средств безопасности.

UNC3944 настраивает обратный туннель с переадресацией портов, устанавливая прямое соединение с виртуальной машиной Azure через удаленный рабочий стол.

Например, любое входящее соединение на порт удаленной машины 12345 будет перенаправлено на локальный порт 3389, то есть (порт службы протокола удаленного рабочего стола).

Наконец, злоумышленники используют учетные данные зараженной учетной записи пользователя для входа в скомпрометированную виртуальную машину Azure через обратный шелл. Только после этого они продолжают расширять свой контроль в нарушенной среде, похищая критически важную информацию на этом пути.

Атаки, отслеживаемые компанией безопасности, показывают, что UNC3944 имеет глубокое понимание среды Azure и того, как они могут использовать встроенные инструменты для избежания обнаружения и навыков социальной инженерии для выполнения подмены SIM-карт, что делает риск гораздо больше, чем он уже есть.

Читать: ChatGPT теперь просматривает интернет для повышения точности ответов