技術支援
文件
登錄
聯繫我們
UNC3944 面向 Microsoft Azure 管理員帳戶
奧班拉·奧佩耶米
實施期間: 2023年6月1 日 - TuxCare專家團隊
根據 Mandiant 的一份報告,UNC3944 自 2022 年 5 月以來一直使用高級網路釣魚和 SIM 交換方法來訪問 Microsoft Azure 管理員帳戶並滲透虛擬機 (VM)、控制受損帳戶,並在目標企業中保持長期存在。
UNC3944 通過使用 Azure 虛擬機上的串行控制台在用戶端設置中安裝第三方遠端管理應用程式來利用其對虛擬機的訪問。Mandiant發現威脅行為者對電子郵件和簡訊網路釣魚攻擊的依賴,以及一旦他們訪問員工資料庫就試圖在公司內部對其他人進行網路釣魚。根據Mandiant的說法,UNC3944也被認為正在改變和竊取目標組織的數據。
UNC3944 通常針對洩露的管理員或特權帳戶憑據來獲取初始訪問許可權。他們通常的策略之一是「短信釣魚」(短信網路釣魚)特權用戶,然後是SIM切換,最後是冒充使用者以誘騙説明台代理通過簡訊發送多因素重置代碼。
由於向管理員帳戶提供的全域功能,一旦 UNC3944 成功獲得對 Azure 管理員帳戶的訪問許可權,它就會獲得對 Azure 租戶的完全控制權。這使威脅參與者能夠匯出使用者資訊、收集有關 Azure 環境設置和 VM 的數據,以及建立或編輯租戶帳戶。
據研究人員稱,UNC3944還被發現利用高特權的Azure帳戶濫用Azure擴展進行偵察。Azure 擴展是擴展 Azure 虛擬機功能和自動執行流程的工具和服務。威脅參與者使用“CollectGuestLogs”擴展名收集日誌檔以進行脫機分析和存檔。
監視後,攻擊者使用串行控制台功能在 Azure 虛擬機中獲取管理員命令提示符訪問許可權。UNC3944 通過識別登錄使用者的姓名來確保受感染虛擬機上的持久性。為了維持訪問,威脅參與者使用商業上可訪問的遠端管理工具(如 PowerShell),並利用其有效簽名,許多端點保護產品未檢測到這些簽名。
UNC3944 還生成到其命令和控制伺服器的反向SSH隧道,建立一條安全路徑,通過該路徑可以規避網路約束和安全法規。此具有埠轉發的反向隧道允許通過遠端桌面直接訪問 Azure 虛擬機。
Mandiant得出的結論是,在設置SSH隧道后,攻擊者使用其當前帳戶或通過破壞其他使用者帳戶連接到該隧道,利用它們通過遠端桌面與受感染的系統建立連接。
這篇文章的來源包括 CSOONLINE上的一篇文章。
