Support technique
Documentation
Connexion
Nous contacter
UNC3944 cible les comptes d'administration de Microsoft Azure
Obanla Opeyemi
Le 1er juin 2023 - L'équipe d'experts de TuxCare
Selon un rapport de Mandiant, UNC3944 utilise des méthodes avancées de phishing et d'échange de cartes SIM pour accéder aux comptes administrateurs Microsoft Azure et infiltrer les machines virtuelles (VM), prendre le contrôle des comptes compromis et maintenir une présence à long terme dans les entreprises ciblées depuis mai 2022.
UNC3944 exploite son accès aux machines virtuelles en installant des applications tierces de gestion à distance dans les paramètres du client à l'aide de la Serial Console sur les machines virtuelles Azure. Mandiant a découvert que l'acteur de la menace dépendait des attaques d'hameçonnage par courriel et par SMS, ainsi que des tentatives d'hameçonnage de personnes supplémentaires au sein de l'entreprise une fois qu'il avait obtenu l'accès aux bases de données des employés. Selon Mandiant, UNC3944 a également été vu en train de modifier et de voler des données dans des organisations cibles.
UNC3944 cible généralement les identifiants d'administrateurs ou de comptes privilégiés compromis pour obtenir un accès initial. L'une de leurs stratégies habituelles consiste à "smishing" (hameçonnage par SMS) des utilisateurs privilégiés, puis à changer de carte SIM et, enfin, à se faire passer pour les utilisateurs afin de tromper les agents du service d'assistance et de leur faire envoyer un code de réinitialisation multifactorielle par SMS.
En raison des capacités globales offertes par les comptes d'administrateur, une fois que UNC3944 a réussi à accéder à un compte d'administrateur Azure, il acquiert un contrôle total sur la location Azure. Cela permet à l'acteur de la menace d'exporter des informations sur les utilisateurs, de collecter des données sur les paramètres de l'environnement Azure et les machines virtuelles, et d'établir ou de modifier les comptes des locataires.
Selon les chercheurs, UNC3944 a également été découvert en train d'utiliser un compte Azure hautement privilégié pour abuser des extensions Azure à des fins de reconnaissance. Les extensions Azure sont des outils et des services qui étendent les capacités des machines virtuelles Azure et automatisent les processus. L'acteur de la menace utilise l'extension "CollectGuestLogs" pour collecter des fichiers journaux à des fins d'analyse et d'archivage hors ligne.
Après la surveillance, l'attaquant utilise la fonction Serial Console pour obtenir un accès à l'invite de commande de l'administrateur dans une machine virtuelle Azure. UNC3944 assure la persistance de la machine virtuelle infectée en identifiant le nom de l'utilisateur connecté. Pour maintenir l'accès, l'acteur de la menace utilise des outils d'administration à distance accessibles dans le commerce, tels que PowerShell, et tire parti de leurs signatures valides, qui ne sont pas détectées par de nombreux produits de protection des points d'extrémité.
L'UNC3944 génère également un tunnel SSH inverse vers son serveur de commande et de contrôle, établissant ainsi un chemin sécurisé par lequel les contraintes du réseau et les règles de sécurité peuvent être contournées. Ce tunnel inverse avec redirection de port permet un accès direct aux machines virtuelles Azure par le biais du bureau à distance.
Mandiant conclut qu'après avoir mis en place le tunnel SSH, l'attaquant s'y connecte en utilisant son compte actuel ou en compromettant d'autres comptes d'utilisateurs, ce qui lui permet d'établir une connexion au système compromis via le bureau à distance.
Les sources de cet article comprennent un article paru dans CSOONLINE.
