Хакеры используют последовательную консоль Azure для скрытого доступа к виртуальным машинам

Хакеры из группы «UNC3944» использует фишинговые атаки с подменой SIM-карты для захвата учетных записей администратора Microsoft Azure и получения доступа к виртуальным машинам.

Хакеры используют последовательную консоль Azure для скрытого доступа к виртуальным машинам. Фото: СС0

После захвата учетки злоумышленники используют последовательную консолью Azure, чтобы установить программное обеспечение для удаленного управления и скрытого наблюдения.

Исследователи из Mandiant сообщают, что UNC3944 активен как минимум с мая 2022 года, и их кампания направлена на кражу данных у организаций-жертв, использующих службу облачных вычислений Microsoft.

Первоначальный доступ к учетной записи администратора Azure осуществляется с использованием украденных учетных данных, полученных с помощью SMS-фишинга — распространенной тактики UNC3944.

Затем злоумышленники выдают себя за администратора при обращении к агентам службы поддержки, чтобы обманом заставить их отправить многофакторный код сброса через SMS на номер телефона цели.

Однако злоумышленник уже подменил номер администратора на SIM-карте и перенес его на свое устройство, поэтому он получил токен 2FA, а жертва не заметила нарушения.

Исследователям Mandiant еще предстоит определить, как хакеры выполняют фазу замены SIM-карты в своей работе. Тем не менее, предыдущие случаи показали, что достаточно знать номер телефона жертвы и вступить в сговор с недобросовестными работниками связи, чтобы облегчить незаконные переносы номеров.

Как только злоумышленники закрепятся в среде Azure целевой организации, они используют свои права администратора для сбора информации, изменения существующих учетных записей Azure или создания новых.

На следующем этапе атаки UNC3944 использует расширения Azure для наблюдения и сбора информации, маскируя свои вредоносные операции под кажущиеся безобидными повседневные задачи и сочетая их с обычной активностью.

Расширения Azure — это «дополнительные» функции и службы, которые можно интегрировать в виртуальную машину (ВМ) Azure, чтобы помочь расширить возможности, автоматизировать задачи и т. д.

Поскольку эти расширения выполняются внутри виртуальной машины и обычно используются в законных целях, они незаметны и менее подозрительны.

Затем UNC3944 использует последовательную консоль Azure , чтобы получить доступ к административной консоли к виртуальным машинам и выполнять команды в командной строке через последовательный порт.

Из сообщения исследователей безопасности:

«Этот метод атаки уникален тем, что позволяет избежать многих традиционных методов обнаружения, используемых в Azure, и предоставляет злоумышленнику полный административный доступ к виртуальной машине».

Отсутствие понимания облачных технологий у организаций, которые применяют недостаточные меры безопасности, такие как многофакторная аутентификация на основе SMS, создает окно возможностей для злоумышленников, резюмируют исследователи безопасности.

Startpack подготовил список облачных сервисов для хранения паролей. Платные и бесплатные платформы для работы с паролями, необходимыми для доступа к прикладным программам или веб-сервисам. Обязательное шифрование данных защищает критически важную информацию от хищения или повреждения злоумышленниками. Автоматическая сортировка и заполнение полей с паролём облегчает доступ к сервисам. Возможность создания резервных копий базы паролей для сохранения на случай сбоя или ошибки.

Статьи по теме