Mandiant’tan siber güvenlik araştırmacıları, sanal makinelere sızmak ve hassas verileri sızdırmak için kimlik avı ve SIM değiştirme tekniklerini kullanan, Azure ortamı hakkında kapsamlı bilgiye sahip bir bilgisayar korsanlığı topluluğunu ortaya çıkardı.
onun içinde rapor (yeni sekmede açılır)Mandiant, grubun en az Mayıs 2022’den beri aktif olduğunu iddia ederek grubu “UNC3944” olarak izlediğini söylüyor.
İlk olarak grup, Microsoft Azure yönetici hesaplarının parolalarını elde etmek için SMS kimlik avı saldırıları gerçekleştirecekti. Bundan sonra, SMS yoluyla çok faktörlü kimlik doğrulama (MFA) kodlarını alma yeteneği kazanarak bir SIM değiştirme saldırısı yürüteceklerdi. Mandiant, grubun SIM’i nasıl değiştirdiğinden tam olarak emin değil, ancak “hedefin telefon numarasını bilmek ve vicdansız telekom çalışanlarıyla komplo kurmak, yasadışı numara taşıma işlemlerini kolaylaştırmak için yeterli” diyor.
Yöneticilerin kimliğine bürünme
Ardından grup, yöneticinin kimliğine bürünür ve MFA kodunu almak ve hedefin Azure ortamına erişmek için kullanmak üzere yardım masası aracılarına ulaşır. İçeri girdikten sonra, kimi ele geçirdiklerine ve o andaki amacın ne olduğuna bağlı olarak bilgi toplayacak, mevcut Azure hesaplarını değiştirecek veya yenilerini oluşturacaklardı.
Sonraki adım, olabildiğince fazla veri toplarken gizlemek için Azure Uzantıları eklentilerini ve VM’lere yönetici konsolu erişimi elde etmek ve seri bağlantı noktası üzerinden komutları çalıştırmak için Azure Serial Console’u kullanmaktı.
Mandiant raporunda, “Bu saldırı yöntemi, Azure içinde kullanılan geleneksel algılama yöntemlerinin çoğundan kaçınması ve saldırgana VM’ye tam yönetim erişimi sağlaması açısından benzersizdi.”
Bundan sonra grup, ağda kalmak ve olabildiğince çok hassas veriyi tespit edip dışarı sızdırırken gizliliği korumak için bir dizi ek hamle yapar.
Mandiant, UNC3944’ün Azure ortamını “derin bir şekilde anladığını” gösterdiğini belirterek, bu düzeydeki teknik bilgi birikiminin üst düzey sosyal mühendislik becerileriyle bir araya gelmesinin bunu kötü niyetli hale getirdiğini belirtti. (yeni sekmede açılır) grup oldukça tehlikeli.
- Bunlar en iyi güvenlik duvarları (yeni sekmede açılır) işinizi korumak için