Una pandilla cibernética motivada financieramente, rastreada por Mandiant como ‘UNC3944’, utiliza ataques de phishing y de intercambio de SIM para secuestrar cuentas de administrador de Microsoft Azure y obtener acceso a máquinas virtuales.
A partir de ahí, los atacantes abusan de la consola serie de Azure para instalar software de administración remota para la persistencia y abusan de las extensiones de Azure para la vigilancia sigilosa.
Mandiant informa que UNC3944 ha estado activo desde al menos mayo de 2022, y su campaña tiene como objetivo robar datos de las organizaciones víctimas que utilizan el servicio de computación en la nube de Microsoft.
UNC3944 se atribuyó anteriormente a la creación del kit de herramientas STONESTOP (cargador) y POORTRY (controlador en modo kernel) para finalizar el software de seguridad.
Los actores de amenazas utilizaron cuentas de desarrolladores de hardware de Microsoft robadas para firmar sus controladores de kernel.
Administradores de Azure de intercambio de SIM
El acceso inicial a la cuenta del administrador de Azure se realiza mediante credenciales robadas adquiridas en el phishing por SMS, una táctica común de UNC3944.
Luego, los atacantes se hacen pasar por el administrador cuando se comunican con los agentes de la mesa de ayuda para engañarlos y enviarles un código de reinicio de múltiples factores a través de SMS al número de teléfono del objetivo.
Sin embargo, el atacante ya había cambiado la SIM del número del administrador y lo había transferido a su dispositivo, por lo que recibió el token 2FA sin que la víctima se diera cuenta de la violación.
Mandiant aún tiene que determinar cómo los piratas informáticos realizan la fase de intercambio de SIM de su operación. Sin embargo, casos anteriores han demostrado que conocer el número de teléfono del objetivo y conspirar con empleados de telecomunicaciones sin escrúpulos es suficiente para facilitar la portabilidad de números ilícitos.
Una vez que los atacantes establecen su punto de apoyo en el entorno de Azure de la organización objetivo, utilizan sus privilegios de administrador para recopilar información, modificar las cuentas de Azure existentes según sea necesario o crear cuentas nuevas.
Tácticas de vivir de la tierra
En la siguiente fase de ataque, UNC3944 usa Azure Extensions para realizar vigilancia y recopilar información, enmascarar sus operaciones maliciosas como tareas diarias aparentemente inocuas y combinarlas con la actividad habitual.
Las extensiones de Azure son características y servicios «complementarios» que se pueden integrar en una máquina virtual (VM) de Azure para ayudar a expandir capacidades, automatizar tareas, etc.
Debido a que estas extensiones se ejecutan dentro de la VM y generalmente se usan con fines legítimos, son sigilosas y menos sospechosas.
En este caso, el actor de amenazas abusó de las extensiones de diagnóstico de Azure integradas, como «CollectGuestLogs», que se aprovechó para recopilar archivos de registro del punto final violado. Además, Mandiant encontró evidencia de que el actor de amenazas intenta abusar de las siguientes extensiones adicionales:
Violación de máquinas virtuales para robar datos
A continuación, UNC3944 usa Azure Serial Console para obtener acceso a la consola administrativa de las máquinas virtuales y ejecutar comandos en un símbolo del sistema a través del puerto serie.
«Este método de ataque fue único en el sentido de que evitó muchos de los métodos de detección tradicionales empleados en Azure y proporcionó al atacante acceso administrativo completo a la máquina virtual», explica el informe de Mandiant .
Mandiant notó que «whoami» es el primer comando que ejecutan los intrusos para identificar al usuario conectado actualmente y recopilar suficiente información para promover la explotación.
Puede encontrar más información sobre cómo analizar los registros de Azure Serial Console en el apéndice de informes .
Luego, los actores de amenazas usan PowerShell para mejorar su persistencia en la máquina virtual e instalar varias herramientas de administración remota disponibles comercialmente que no se mencionan en el informe.
«Para mantener la presencia en la VM, el atacante a menudo implementa múltiples herramientas de administración remota disponibles comercialmente a través de PowerShell», se lee en el informe de Mandiant.
«La ventaja de usar estas herramientas es que son aplicaciones firmadas legítimamente y brindan acceso remoto al atacante sin activar alertas en muchas plataformas de detección de puntos finales».
El próximo paso para UNC3944 es crear un túnel SSH inverso a su servidor C2, para mantener un acceso sigiloso y persistente a través de un canal seguro y eludir las restricciones de red y los controles de seguridad.
El atacante configura el túnel inverso con el reenvío de puertos, lo que facilita una conexión directa a Azure VM a través de Remote Desktop. Por ejemplo, cualquier conexión entrante al puerto de máquina remota 12345 se reenviaría al puerto de host local 3389 (Puerto de servicio de protocolo de escritorio remoto).
Finalmente, los atacantes usan las credenciales de una cuenta de usuario comprometida para iniciar sesión en la VM de Azure comprometida a través del shell inverso y solo luego proceden a expandir su control dentro del entorno violado, robando datos en el camino.
El ataque presentado por Mandiant demuestra el profundo conocimiento de UNC3944 del entorno de Azure y cómo pueden aprovechar las herramientas integradas para evadir la detección.
Cuando este conocimiento técnico se combina con habilidades de ingeniería social de alto nivel que ayudan a los atacantes a realizar el intercambio de SIM, el riesgo se magnifica.
Al mismo tiempo, la falta de comprensión de las tecnologías en la nube por parte de las organizaciones que implementan medidas de seguridad insuficientes, como la autenticación multifactor basada en SMS, crea oportunidades para estos actores de amenazas sofisticados.
Fuente y redacción: bleepingcomputer.com
