Se ha observado a un actor cibernético motivado financieramente abusando de Microsoft Azure Consola serie en máquinas virtuales (VM) para instalar herramientas de administración remota de terceros dentro de entornos comprometidos.
Mandiant, propiedad de Google, atribuyó la actividad a un grupo de amenazas que rastrea bajo el nombre UNC3944que también se conoce como 0ktapus asado y araña dispersa.
«Este método de ataque fue único en el sentido de que evitó muchos de los métodos de detección tradicionales empleados en Azure y proporcionó al atacante acceso administrativo completo a la máquina virtual», dijo la firma de inteligencia de amenazas. dicho.
Se sabe que el adversario emergente, que salió a la luz por primera vez a fines del año pasado, aprovecha los ataques de intercambio de SIM para violar las empresas de telecomunicaciones y subcontratación de procesos comerciales (BPO) desde al menos mayo de 2022.
Posteriormente, Mandiant también encontró UNC3944 utilizando un cargador llamado STONESTOP para instalar un controlador firmado malicioso llamado POORTRY que está diseñado para finalizar procesos asociados con el software de seguridad y eliminar archivos como parte de un ataque BYOVD.
Actualmente no se sabe cómo el actor de amenazas realiza los intercambios de SIM, aunque se sospecha que la metodología de acceso inicial implica el uso de mensajes SMS de phishing dirigidos a usuarios privilegiados para obtener sus credenciales y luego organizar un intercambio de SIM para recibir la autenticación de dos factores (2FA). ) token a una tarjeta SIM bajo su control.
Armado con el acceso elevado, el actor de amenazas luego se mueve para inspeccionar la red objetivo explotando Extensiones de máquinas virtuales de Azure como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot y la configuración de invitados de Azure Policy.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
«Una vez que el atacante completa su reconocimiento, emplea la funcionalidad de la consola en serie para obtener un símbolo del sistema administrativo dentro de una máquina virtual de Azure», dijo Mandiant, y agregó que observó que UNC3944 usaba PowerShell para implementar herramientas legítimas de administración remota.
El desarrollo es otra evidencia más de que los atacantes se aprovechan de vivir de la tierra (LoteL) técnicas para sostener y avanzar un ataque, al mismo tiempo que eluden la detección.
«El uso novedoso de la consola serie por parte de los atacantes es un recordatorio de que estos ataques ya no se limitan a la capa del sistema operativo», dijo Mandiant.
«Desafortunadamente, los recursos de la nube a menudo se malinterpretan, lo que lleva a configuraciones erróneas que pueden dejar estos activos vulnerables a los atacantes. Si bien los métodos de acceso inicial, movimiento lateral y persistencia varían de un atacante a otro, una cosa está clara: los atacantes tienen sus ojos en la nube.»