Хакерите користат Azure Serial Console за таен пристап до VM

Финансиски мотивираната сајбер група забележана од страна на Mandiant како „UNC3944“ користи phishing и SIM swapping напади за да ги хакира административните сметки на Microsoft Azure и да добие пристап до виртуелните машини.

Оттаму, напаѓачите ја злоупотребуваат Azure Serial Console за да инсталираат софтвер за далечинско управување за злоупотреба на Azure Extensions за прикриен надзор.

Mandiant известува дека UNC3944 е активен од мај 2022 година, а нивната кампања има за цел да краде податоци од организациските жртви кои ја користат Microsoft cloud computing услугатa.

UNC3944 претходно беше припишан на создавањето на STONESTOP (loader) и POORTRY (kernel-mode driver) за да се прекине безбедносниот софтвер.

Напаѓачите ги користеа украдените сметки од развивачите на хардвер на Microsoft за да ги потпишат своите драјвери на кернелот.

Почетниот пристап до сметката на Azure администраторот се одвива со користење на украдени акредитиви стекнати во СМС phishing , вообичаена тактика на UNC3944.

Следно, напаѓачите го имитираат администраторот кога контактираат со помошните агенти со цел да ги измамат да испратат код за ресетирање со повеќе фактори преку СМС на телефонскиот број на жртвата.

Сепак, напаѓачот веќе го заменил бројот на администраторот со SIM-картичката и го префрлил на нивниот уред, па го добиле 2FA токенот без жртвата да го сфати пробивањето.

Mandiant допрва треба да утврди како напаѓачите ја извршуваат фазата на замена на SIM-картичката од нивното работење. Сепак, претходните случаи покажаа дека познавањето на телефонскиот број на жртвата и заговорот со бескрупулозните вработени во telecom е доволно за да се олеснат незаконските порти со броеви.

Откако напаѓачите ќе навлезат во Azure околината на таргетираната организација, тие ги користат нивните администраторски привилегии за да соберат информации, да ги менуваат постоечките сметки на Azure по потреба или да создадат нови.

Во следната фаза на напад, UNC3944 користи Azure Extensions за да спроведе надзор и да собира информации, да ги маскира малициозните дејства како навидум безопасни дневни задачи.

Azure Extensions се „додатни“ функции и услуги кои можат да се интегрираат во Azure Virtual Machine (VM) за да помогнат во проширувањето на можностите, автоматизирањето на задачите итн.

Бидејќи овие екстензии се извршуваат внатре во VM и обично се користат за легитимни цели, тие се и прикриени и помалку сомнителни.

Во овој случај, напаѓачот ги злоупотребил вградените дијагностички екстензии на Azure, како што е „CollectGuestLogs“, што беше искористено за собирање log датотеки од пробиената крајна точка. Дополнително, Mandiant пронајде докази за напаѓачот кој се обидува да ги злоупотреби следните дополнителни екстензии:

– Azure Network Watcher
– Guest Agent Automatic Log Collection
– VMSnapshot
– Guest configuration

Следно, UNC3944 користи Azure Serial Console за да добие пристап до административната конзола на VM и да изврши команди на командната линија преку сериската порта.

„Овој метод на напад беше единствен по тоа што избегнуваше многу од традиционалните методи за детекција користени во Azure и му обезбеди на напаѓачот целосен административен пристап до VM“, стои во извештајот на Mandiant.

Mandiant забележа дека „whoami“ е првата команда што напаѓачите ја извршуваат за да го идентификуваат моментално најавениот корисник и да соберат доволно информации за да ја продолжат експлоатацијата.

Повеќе информации за тоа како да се анализираат дневниците за Azure Serial Console може да се најдат во прилогот на извештаите.

Следно, напаѓачите користат PowerShell за да ја подобрат својата сила на VM и да инсталираат повеќе комерцијално достапни далечински администраторски алатки кои не се именувани во извештајот.

„За да го одржи присуството на VM, напаѓачот често распоредува повеќе комерцијално достапни алатки за далечинско администрирање преку PowerShell“, стои во извештајот на Mandiant.

„Предноста на користењето на овие алатки е тоа што тие се легитимно потпишани апликации и му обезбедуваат далечински пристап на напаѓачот без да активираат предупредувања во многу платформи за детектирање крајни точки.

Следниот чекор за UNC3944 е да создаде reverse SSH тунел до нивниот C2 сервер, за да се одржи таен и постојан пристап преку безбеден канал и да се заобиколат мрежните ограничувања и безбедносните контроли.

Напаѓачот го конфигурира reverse тунелот со пренасочување на портата, олеснувајќи го директното поврзување со Azure VM преку далечинска работна површина. На пример, секоја влезна врска со далечинската машинска порта 12345 ќе биде препратена до локалната порта домаќин 3389 (Remote Desktop Protocol Service Port).

Конечно, напаѓачите ги користат ингеренциите на компромитирана корисничка сметка за да се логираат на компромитираниот Azure VM преку reverse shell и дури потоа продолжуваат да ја прошируваат својата контрола во пробиената околина, крадејќи податоци.

Нападот претставен од страна на Mandiant го покажува длабокото разбирање на UNC3944 за Azure околината и како тие можат да ги користат вградените алатки за да избегнат детекција.

Кога ова техничко знаење се комбинира со вештини за social engineering на високо ниво кои им помагаат на напаѓачите да извршат замена на SIM-картичката, ризикот се зголемува.

Во исто време, недостигот на разбирање за cloud технологиите од организациите кои применуваат недоволни безбедносни мерки, како што е повеќефакторска автентикација базирана на СМС, создава можности за ваков тип напади.

Извор: BleepingComputer

Check Also

Нов крадец на информации за Snake базиран на Python се шири преку пораки на Faceebook

Пораките на Facebook се користат од страна на актери за закана за крадец на информации …