UNC3944 zielt auf Microsoft Azure-Administratorkonten
Laut einem Mandiant-Bericht verwendet UNC3944 fortschrittliche Phishing- und SIM-Swapping-Methoden, um auf Microsoft Azure-Administratorkonten zuzugreifen und virtuelle Maschinen (VMs) zu infiltrieren, die Kontrolle über kompromittierte Konten zu erlangen und seit Mai 2022 eine langfristige Präsenz in Zielunternehmen aufrechtzuerhalten.
UNC3944 nutzt seinen Zugriff auf virtuelle Maschinen durch die Installation von Fernverwaltungsanwendungen von Drittanbietern in den Client-Einstellungen unter Verwendung der seriellen Konsole auf virtuellen Azure-Maschinen. Mandiant entdeckte die Abhängigkeit des Bedrohungsakteurs von E-Mail- und SMS-Phishing-Angriffen sowie von Versuchen, weitere Personen innerhalb des Unternehmens zu phishen, sobald sie Zugang zu Mitarbeiterdatenbanken erhalten hatten. Laut Mandiant wurde UNC3944 auch dabei beobachtet, wie er Daten von Zielunternehmen veränderte und stahl.
UNC3944 zielt in der Regel auf kompromittierte Zugangsdaten von Administratoren oder privilegierten Konten ab, um sich einen ersten Zugang zu verschaffen. Eine der üblichen Strategien ist das "Smishing" (SMS-Phishing) privilegierter Benutzer, gefolgt vom SIM-Wechsel und schließlich der Identifizierung der Benutzer, um Helpdesk-Agenten dazu zu bringen, einen Multi-Faktor-Reset-Code per SMS zu senden.
Aufgrund der globalen Funktionen, die Administratorkonten zur Verfügung stehen, erlangt UNC3944 nach erfolgreichem Zugriff auf ein Azure-Administratorkonto die vollständige Kontrolle über die Azure-Tenancy. Dies ermöglicht es dem Bedrohungsakteur, Benutzerinformationen zu exportieren, Daten über Azure-Umgebungseinstellungen und VMs zu sammeln und Tenant-Konten einzurichten oder zu bearbeiten.
UNC3944 wurde auch entdeckt, wie er ein hochprivilegiertes Azure-Konto nutzte, um Azure Extensions für Aufklärungszwecke zu missbrauchen, so die Forscher. Azure Extensions sind Tools und Dienste, die die Fähigkeiten von Azure Virtual Machines erweitern und Prozesse automatisieren. Der Angreifer verwendet die Erweiterung "CollectGuestLogs", um Protokolldateien für die Offline-Analyse und Archivierung zu sammeln.
Nach der Überwachung nutzt der Angreifer die Funktion "Serielle Konsole", um Zugriff auf die Eingabeaufforderung eines Administrators in einer virtuellen Azure-Maschine zu erhalten. UNC3944 stellt sicher, dass der Zugriff auf die infizierte VM bestehen bleibt, indem er den Namen des angemeldeten Benutzers identifiziert. Um den Zugriff aufrechtzuerhalten, verwendet der Angreifer kommerziell zugängliche Remote-Administrationstools wie PowerShell und nutzt deren gültige Signaturen, die von vielen Endpunktschutzprodukten nicht erkannt werden.
UNC3944 generiert außerdem einen umgekehrten SSH-Tunnel zu seinem Command-and-Control-Server und schafft so einen sicheren Pfad, über den Netzwerkbeschränkungen und Sicherheitsvorschriften umgangen werden können. Dieser umgekehrte Tunnel mit Portweiterleitung ermöglicht einen direkten Zugriff auf virtuelle Azure-Maschinen über Remote Desktop.
Mandiant kommt zu dem Schluss, dass sich der Angreifer nach dem Einrichten des SSH-Tunnels über sein aktuelles Konto oder durch die Kompromittierung zusätzlicher Benutzerkonten mit diesem verbindet und eine Verbindung zum kompromittierten System über Remote Desktop herstellt.
Zu den Quellen für diesen Beitrag gehört ein Artikel in CSOONLINE.