ΑρχικήsecurityUNC3944: Χρησιμοποιεί την Azure Serial Console για κρυφή πρόσβαση σε VMs

UNC3944: Χρησιμοποιεί την Azure Serial Console για κρυφή πρόσβαση σε VMs

Μια συμμορία στον κυβερνοχώρο με οικονομικά κίνητρα, που εντοπίστηκε από τη Mandiant ως “UNC3944”, χρησιμοποιεί επιθέσεις phishing και SIM swapping για να καταλάβει λογαριασμούς διαχειριστών του Microsoft Azure και να αποκτήσει πρόσβαση σε εικονικές μηχανές.

Από εκεί και πέρα, οι επιτιθέμενοι κάνουν κατάχρηση της Azure Serial Console για να εγκαταστήσουν λογισμικό απομακρυσμένης διαχείρισης για persistence και να κάνουν κατάχρηση των Azure Extensions για κρυφή παρακολούθηση.

Η Mandiant αναφέρει ότι η UNC3944 είναι ενεργό τουλάχιστον από τον Μάιο του 2022 και η εκστρατεία του έχει ως στόχο την κλοπή δεδομένων από οργανισμούς-θύματα που χρησιμοποιούν την υπηρεσία cloud computing της Microsoft.

Η UNC3944 αποδόθηκε προηγουμένως στη δημιουργία των εργαλειοθηκών STONESTOP (loader) και POORTRY (kernel-mode driver) toolkit για τον τερματισμό λογισμικού ασφαλείας.

Οι απειλητές χρησιμοποίησαν κλεμμένους λογαριασμούς hardware developer της Microsoft για να υπογράψουν τους kernel drivers.

SIM swapping Azure admins

Αρχικά, η πρόσβαση στο λογαριασμό του διαχειριστή του Azure πραγματοποιήθηκε με τη χρήση κλεμμένων credentials που αποκτήθηκαν με μια κοινή τακτική SMS phishing της UNC3944.

Στη συνέχεια, οι επιτιθέμενοι υποδύονται τον διαχειριστή όταν επικοινωνούν με τους υπαλλήλους της υπηρεσίας υποστήριξης, προκειμένου να τους εξαπατήσουν ώστε να στείλουν έναν κωδικό επαναφοράς πολλαπλών παραγόντων μέσω SMS στον αριθμό τηλεφώνου του στόχου.

Ωστόσο, ο επιτιθέμενος είχε ήδη αλλάξει τον αριθμό SIM του διαχειριστή και τον είχε μεταφέρει στη δική του συσκευή, οπότε έλαβε το κουπόνι 2FA χωρίς το θύμα να αντιληφθεί την παραβίαση.

Η Mandiant δεν έχει ακόμη καθορίσει τον τρόπο με τον οποίο οι χάκερ εκτελούν τη φάση της ανταλλαγής SIM της επιχείρησής τους- ωστόσο, προηγούμενες περιπτώσεις έχουν δείξει ότι η γνώση του τηλεφωνικού αριθμού του στόχου και η συνωμοσία με αδίστακτους υπαλλήλους τηλεπικοινωνιών είναι αρκετή για να διευκολυνθούν οι παράνομες μεταφορές αριθμών.

Μόλις οι επιτιθέμενοι εδραιωθούν στο περιβάλλον Azure του στοχευόμενου οργανισμού, χρησιμοποιούν τα προνόμια διαχειριστή για να συλλέξουν πληροφορίες, να τροποποιήσουν τους υπάρχοντες λογαριασμούς Azure ανάλογα με τις ανάγκες ή να δημιουργήσουν νέους.

UNC3944

Στην επόμενη φάση επίθεσης, η UNC3944 θα χρησιμοποιήσει τις επεκτάσεις Azure για να διεξάγει επιτήρηση και να συλλέγει πληροφορίες, να καλύψει τις κακόβουλες λειτουργίες του ως φαινομενικά αθώες καθημερινές εργασίες και να αναμειχθεί με την κανονική δραστηριότητα.

Τα Azure Extensions είναι “πρόσθετα” χαρακτηριστικά και υπηρεσίες που μπορούν να ενσωματωθούν σε ένα Azure Virtual Machine (VM) για να βοηθήσουν στην επέκταση των δυνατοτήτων και την αυτοματοποίηση εργασιών.

Επειδή αυτές οι επεκτάσεις εκτελούνται μέσα στο VM και συνήθως χρησιμοποιούνται για νόμιμους σκοπούς, είναι τόσο αθόρυβες όσο και λιγότερο ύποπτες.

Σε αυτή την περίπτωση, ο απειλητικός παράγοντας έκανε κατάχρηση των ενσωματωμένων διαγνωστικών επεκτάσεων Azure, όπως το “CollectGuestLogs”, το οποίο χρησιμοποιήθηκε για τη συλλογή αρχείων καταγραφής από το παραβιασμένο endpoint. Επιπλέον, η Mandiant βρήκε στοιχεία ότι ο απειλητικός παράγοντας επιχείρησε να κάνει κατάχρηση και άλλων επεκτάσεων.

Παραβίαση VM για κλοπή δεδομένων

Στη συνέχεια, η UNC3944 χρησιμοποιεί την Azure Serial Console για να αποκτήσει διαχειριστική πρόσβαση σε VM και να εκτελέσει εντολές σε μια γραμμή εντολών μέσω της σειριακής θύρας.

Η Mandiant παρατήρησε ότι η εντολή “whoami” είναι η πρώτη εντολή που εκτελούν οι εισβολείς προκειμένου να αναγνωρίσουν τον τρέχοντα συνδεδεμένο χρήστη και να συλλέξουν αρκετές πληροφορίες για την περαιτέρω εκμετάλλευσή τους.

UNC3944

Περισσότερες πληροφορίες σχετικά με τον τρόπο ανάλυσης των αρχείων καταγραφής για την Azure Serial Console θα βρείτε στο παράρτημα της έκθεσης.

Στη συνέχεια, οι απειλητικοί φορείς χρησιμοποίησαν το PowerShell για να ενισχύσουν το persistence τους στο VM και εγκατέστησαν πολλαπλά εμπορικά διαθέσιμα εργαλεία απομακρυσμένου διαχειριστή που δεν κατονομάζονται στην έκθεση.

Το επόμενο βήμα για την UNC3944 είναι η δημιουργία μιας αντίστροφης σήραγγας SSH προς τον διακομιστή C2, προκειμένου να διατηρήσει κρυφή και μόνιμη πρόσβαση μέσω ενός ασφαλούς καναλιού, καθώς και να παρακάμψει τους περιορισμούς και τους ελέγχους ασφαλείας του δικτύου.

Ο επιτιθέμενος ρυθμίζει ένα reverse tunnel με port forwarding, διευκολύνοντας την απευθείας σύνδεση με το Azure VM μέσω του Remote Desktop. Για παράδειγμα, οποιαδήποτε εισερχόμενη σύνδεση στη θύρα 12345 του απομακρυσμένου μηχανήματος θα προωθηθεί στη θύρα 3389 του local host port (Remote Desktop Protocol Service Port).

Τέλος, οι επιτιθέμενοι χρησιμοποιούν τα credentials ενός παραβιασμένου λογαριασμού χρήστη για να συνδεθούν στο παραβιασμένο Azure VM μέσω του reverse shell και στη συνέχεια προχωρούν στην επέκταση του ελέγχου τους στο παραβιασμένο περιβάλλον, κλέβοντας δεδομένα στην πορεία.

Η επίδειξη της επίθεσης από τη Mandiant αποκαλύπτει ότι η UNC3944 έχει προχωρημένο επίπεδο γνώσεων σχετικά με το Azure και μπορεί να χρησιμοποιήσει τα ενσωματωμένα εργαλεία της πλατφόρμας για να αποφύγει τον εντοπισμό.

Όταν αυτή η τεχνική τεχνογνωσία συνδυάζεται με υψηλού επιπέδου δεξιότητες social engineering που βοηθούν τους επιτιθέμενους να πραγματοποιήσουν SIM swapping, ο κίνδυνος ενισχύεται.

Ταυτόχρονα, η έλλειψη κατανόησης των τεχνολογιών cloud από οργανισμούς που εφαρμόζουν ανεπαρκή μέτρα ασφαλείας, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων μέσω SMS, δημιουργεί ευκαιρίες για αυτούς τους εξελιγμένους απειλητικούς φορείς.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS