Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
UNC3944 se dirige a las cuentas de administrador de Microsoft Azure
1 de junio de 2023 - Equipo de RRPP de TuxCare
UNC3944 ha estado utilizando métodos avanzados de phishing e intercambio de SIM para acceder a cuentas de administrador de Microsoft Azure e infiltrarse en máquinas virtuales (VM), obtener el control de cuentas comprometidas y mantener una presencia a largo plazo en empresas objetivo desde mayo de 2022, según un informe de Mandiant.
UNC3944 explota su acceso a las máquinas virtuales mediante la instalación de aplicaciones de gestión remota de terceros en la configuración del cliente utilizando la consola de serie en las máquinas virtuales de Azure. Mandiant descubrió la dependencia del actor de la amenaza de los asaltos de phishing por correo electrónico y SMS, así como intentos de phishing a otras personas dentro de la empresa una vez que habían obtenido acceso a las bases de datos de los empleados. UNC3944 también ha sido visto cambiando y robando datos de organizaciones objetivo, según Mandiant.
UNC3944 generalmente se dirige a credenciales de administrador o de cuentas privilegiadas comprometidas para obtener el acceso inicial. Una de sus estrategias habituales es el "smishing" (phishing por SMS) de usuarios privilegiados, seguido del cambio de SIM y, por último, hacerse pasar por los usuarios para engañar a los agentes del servicio de asistencia para que envíen un código de restablecimiento multifactor a través de SMS.
Debido a las capacidades globales ofrecidas a las cuentas de administrador, una vez que UNC3944 logra acceder a una cuenta de administrador de Azure, adquiere el control total de la tenencia de Azure. Esto permite al actor de la amenaza exportar información de usuario, recopilar datos sobre la configuración del entorno de Azure y las máquinas virtuales, y establecer o editar cuentas de tenencia.
UNC3944 también fue descubierto utilizando una cuenta Azure altamente privilegiada para abusar de Azure Extensions con fines de reconocimiento, según los investigadores. Las extensiones de Azure son herramientas y servicios que amplían las capacidades de las máquinas virtuales de Azure y automatizan procesos. El actor de la amenaza utiliza la extensión "CollectGuestLogs" para recopilar archivos de registro para su análisis y archivado offline.
Tras la vigilancia, el atacante emplea la función Serial Console para obtener acceso al símbolo del sistema del administrador dentro de una máquina virtual Azure. UNC3944 garantiza la persistencia en la máquina virtual infectada identificando el nombre del usuario que ha iniciado sesión. Para mantener el acceso, el actor de la amenaza utiliza herramientas de administración remota accesibles comercialmente, como PowerShell, y aprovecha sus firmas válidas, que no son detectadas por muchos productos de protección de endpoints.
UNC3944 también genera un túnel SSH inverso a su servidor de mando y control, estableciendo una ruta segura a través de la cual se pueden eludir las restricciones de red y las normas de seguridad. Este túnel inverso con reenvío de puertos permite un acceso directo a las máquinas virtuales Azure a través de Remote Desktop.
Mandiant concluye que tras configurar el túnel SSH, el atacante se conecta a él utilizando su cuenta actual o comprometiendo cuentas de usuario adicionales, aprovechándolas para establecer una conexión con el sistema comprometido a través de Escritorio Remoto.
Las fuentes de este artículo incluyen un artículo en CSOONLINE.
