Finansal motivasyona sahip bir siber aktörün Microsoft Azure’u kötüye kullandığı gözlemlendi Seri Konsol güvenliği ihlal edilmiş ortamlarda üçüncü taraf uzaktan yönetim araçlarını yüklemek için sanal makinelerde (VM’ler).
Google’ın sahibi olduğu Mandiant, etkinliği adı altında izlediği bir tehdit grubuna bağladı. UNC3944Kavrulmuş 0ktapus ve Dağınık Örümcek olarak da bilinir.
Tehdit istihbaratı firması, “Bu saldırı yöntemi, Azure’da kullanılan geleneksel algılama yöntemlerinin çoğundan kaçınması ve saldırgana VM’ye tam yönetim erişimi sağlaması açısından benzersizdi.” söz konusu.
İlk olarak geçen yılın sonlarında ortaya çıkan yeni ortaya çıkan saldırganın, en az Mayıs 2022’den beri telekomünikasyon ve iş süreci dış kaynak kullanımı (BPO) şirketlerini ihlal etmek için SIM takas saldırılarından yararlandığı biliniyor.
Daha sonra Mandiant, UNC3944’ün güvenlik yazılımıyla ilişkili işlemleri sonlandırmak ve BYOVD saldırısının bir parçası olarak dosyaları silmek için tasarlanmış POORTRY adlı kötü amaçlı imzalı bir sürücüyü yüklemek için STONESTOP adlı bir yükleyiciyi kullandığını da buldu.
Şu anda tehdit aktörünün SIM takaslarını nasıl yürüttüğü bilinmiyor, ancak ilk erişim yönteminin kimlik bilgilerini almak için ayrıcalıklı kullanıcıları hedefleyen SMS kimlik avı mesajlarının kullanımını ve ardından iki faktörlü kimlik doğrulamayı (2FA) almak için bir SIM takasını hazırlamayı içerdiğinden şüpheleniliyor. ) kontrolleri altındaki bir SIM karta belirteç.
Yükseltilmiş erişimle donanmış olan tehdit aktörü daha sonra hedef ağı araştırmak için harekete geçer. Azure VM uzantıları Azure Ağ İzleyicisi, Azure Windows Konuk Aracısı, VMSnapshot ve Azure İlkesi konuk yapılandırması gibi.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Mandiant, UNC3944’ün yasal uzaktan yönetim araçlarını dağıtmak için PowerShell’i kullandığını gözlemlediğini belirterek, “Saldırgan keşif işlemini tamamladıktan sonra, bir Azure VM’nin içinde bir yönetim komut istemi elde etmek için seri konsol işlevselliğini kullanıyor” dedi.
Gelişme, saldırganların arazi dışında yaşama avantajını kullandıklarına dair bir başka kanıt (LotL) aynı anda algılamayı atlatırken bir saldırıyı sürdürme ve ilerletme teknikleri.
Mandiant, “Saldırganlar tarafından seri konsolun yeni kullanımı, bu saldırıların artık işletim sistemi katmanıyla sınırlı olmadığını hatırlatıyor” dedi.
“Ne yazık ki, bulut kaynakları genellikle yeterince yanlış anlaşılmıyor ve bu da bu varlıkları saldırganlara karşı savunmasız bırakabilecek yanlış yapılandırmalara yol açıyor. İlk erişim, yanal hareket ve kalıcılık yöntemleri bir saldırgandan diğerine farklılık gösterse de, bir şey açıktır: Saldırganların gözleri üzerindedir. Bulut.”
