Os pesquisadores descobriram um grupo de ameaças com motivação financeira conhecido como ‘UNC3944’, que emprega técnicas de phishing e troca de SIM para assumir o controle das contas de administrador do Microsoft Azure.
Permitindo-lhes explorar a Consola Serial do Azure em VMs para instalação persistente de software de gestão remota e vigilância secreta através das Extensões do Azure.
UNC3944, um grupo de ameaças identificado, está operando ativamente desde maio de 2022, como relatado da Mandiant. Seu objetivo principal é extrair dados confidenciais de organizações-alvo, aproveitando o serviço de computação em nuvem da Microsoft.
O notório grupo UNC3944, conhecido pelas suas atividades maliciosas, estava anteriormente ligado ao desenvolvimento dos seguintes kits de ferramentas:-
- Carregadeira STONESTOP
- Driver de modo kernel POORTRY
Embora todas essas ferramentas tenham sido projetadas especificamente para desabilitar software de segurança, elas representavam uma ameaça significativa aos sistemas de computador.
Acesso Inicial
Aqui, para assinar seus drivers de kernel, os agentes da ameaça utilizaram contas roubadas de desenvolvedores de hardware da Microsoft por meio das quais operaram seus procedimentos.
Para o acesso inicial, os agentes da ameaça dependem principalmente das credenciais comprometidas dos administradores ou de outras contas privilegiadas.
O invasor usa phishing por SMS e Troca de SIM para se passar por usuários privilegiados e enganar os agentes de suporte técnico para que forneçam códigos de redefinição multifator. Ainda assim, a Mandiant carece de dados suficientes para identificar as especificidades da técnica de troca de SIM.
Abaixo, mencionamos todas as extensões usadas pelos invasores: –
- Observador da Rede Azure
- Coleta automática de logs do agente convidado
- Instantâneo VMS
- Configuração de convidado
Análise técnica
O UNC3944 emprega extensões do Azure durante a fase de ataque subsequente, empregando vigilância secreta e técnicas de coleta de informações para camuflar suas atividades maliciosas como operações diárias comuns, mesclando-se efetivamente com as atividades cotidianas.
As Extensões do Azure são recursos e serviços adicionais projetados para aprimorar a funcionalidade e a automação das VMs do Azure, oferecendo uma variedade de recursos adicionais e opções de automação de tarefas quando integradas.
Ao serem executadas dentro da máquina virtual e utilizadas principalmente para intenções legítimas, estas extensões possuem uma furtividade inerente, fazendo com que pareçam menos suspeitas.
O ator da ameaça explorou os recursos inerentes das extensões de diagnóstico do Azure, especificamente a função “CollectGuestLogs”, para coletar arquivos de log do endpoint comprometido.
Para acesso direto do console administrativo a máquinas virtuais, o UNC3944 aproveita o Azure Serial Console. Isso permite que os agentes da ameaça operem a porta serial para executar comandos por meio do prompt de comando.
A observação da Mandiant revela que a acção inicial tomada pelos intrusos é executar o comando “whoami” para determinar o utilizador activo e adquirir dados essenciais para avançar nas suas tácticas de exploração.
Os atores da ameaça empregam o PowerShell para reforçar sua presença na máquina virtual (VM) e implantar várias ferramentas de administrador remoto omitidas intencionalmente no relatório.
UNC3944 planeja estabelecer uma conexão secreta e contínua com seu servidor C2 através de uma conexão reversa Túnel SSH. Isto permite-lhes escapar às medidas de segurança configurando o encaminhamento de portas para permitir o acesso direto a uma VM do Azure através do Ambiente de Trabalho Remoto.
Ao obter acesso não autorizado a uma máquina virtual (VM) alvo, o invasor cria um novo processo, especificamente C:\Windows\System32\sacsess.exe, que posteriormente aciona a execução de cmd.exe.
No prompt de comando, o invasor executa o comando “whoami”, revelando o nome de usuário do usuário ativo no momento.
A ascensão dos ataques Living off the Land, aproveitando ferramentas integradas para evitar a detecção, destaca o cenário de ameaças em expansão além da camada do sistema operacional, conforme demonstrado pela utilização inovadora do console serial pelos invasores.
A Mandiant aconselha as organizações a limitar acesso de administração remota e abster-se de usar SMS como opção de autenticação multifatorial sempre que possível para melhorar as medidas de segurança.
Esta recomendação visa mitigar riscos potenciais, reduzindo a exposição ao acesso não autorizado e melhorando os protocolos de autenticação.
