UNC3944는 Microsoft Azure 관리자 계정을 대상으로 합니다.
맨디언트 보고서에 따르면 UNC3944는 2022년 5월부터 지능형 피싱과 SIM 스와핑 방법을 사용하여 Microsoft Azure 관리자 계정에 액세스하고 가상 머신(VM)에 침투하여 손상된 계정을 제어하고 표적 기업에서 장기적인 존재감을 유지해 왔습니다.
UNC3944는 Azure 가상 머신의 직렬 콘솔을 사용하여 클라이언트 설정에 타사 원격 관리 애플리케이션을 설치함으로써 가상 머신에 대한 액세스를 악용합니다. 맨디언트는 위협 행위자가 이메일 및 SMS 피싱 공격에 의존하고 있으며, 직원 데이터베이스에 액세스한 후 회사 내부의 다른 사람들을 대상으로 피싱을 시도하는 것을 발견했습니다. 맨디언트에 따르면 UNC3944는 또한 표적 조직의 데이터를 변경하고 훔치는 것도 목격되었습니다.
UNC3944는 일반적으로 초기 액세스 권한을 얻기 위해 손상된 관리자 또는 권한 있는 계정 자격 증명을 표적으로 삼습니다. 이들의 일반적인 전략 중 하나는 권한 있는 사용자에게 "스미싱"(SMS 피싱)을 보낸 다음, SIM을 전환하고, 마지막으로 사용자를 사칭하여 헬프데스크 상담원을 속여 SMS를 통해 다중 요소 재설정 코드를 보내도록 하는 것입니다.
관리자 계정에 제공되는 글로벌 기능으로 인해 UNC3944가 Azure 관리자 계정에 성공적으로 액세스하면 Azure 테넌시에 대한 완전한 제어 권한을 얻게 됩니다. 이를 통해 위협 행위자는 사용자 정보를 내보내고, Azure 환경 설정 및 VM에 대한 데이터를 수집하고, 테넌트 계정을 설정 또는 편집할 수 있습니다.
연구진에 따르면 UNC3944는 또한 높은 권한의 Azure 계정을 사용하여 정찰 목적으로 Azure 확장 프로그램을 악용하는 것으로 밝혀졌습니다. Azure 확장은 Azure 가상 머신의 기능을 확장하고 프로세스를 자동화하는 도구 및 서비스입니다. 위협 행위자는 "CollectGuestLogs" 확장을 사용하여 오프라인 분석 및 보관을 위해 로그 파일을 수집합니다.
감시를 마친 공격자는 직렬 콘솔 기능을 사용하여 Azure 가상 머신 내에서 관리자 명령 프롬프트 액세스 권한을 얻습니다. UNC3944는 로그인한 사용자의 이름을 식별하여 감염된 가상 머신에 대한 지속성을 보장합니다. 위협 행위자는 액세스를 유지하기 위해 PowerShell과 같이 상업적으로 액세스 가능한 원격 관리 도구를 사용하며, 많은 엔드포인트 보호 제품에서 탐지되지 않는 유효한 서명을 활용합니다.
또한 UNC3944는 명령 및 제어 서버에 대한 역방향 SSH 터널을 생성하여 네트워크 제약 및 보안 규정을 우회할 수 있는 안전한 경로를 설정합니다. 포트 포워딩이 포함된 이 역방향 터널을 사용하면 원격 데스크톱을 통해 Azure 가상 머신에 직접 액세스할 수 있습니다.
맨디언트는 공격자가 SSH 터널을 설정한 후 현재 계정을 사용하거나 추가 사용자 계정을 탈취하여 터널에 연결하고, 이를 활용하여 원격 데스크톱을 통해 감염된 시스템에 연결한다고 결론지었습니다.
이 글의 출처는 CSOONLINE의 기사입니다.