Grupo de Ameaça UNC3944 Abusando do Console Serial do Azure para Tomada Total de VM
18 de Maio de 2023

Um ator cibernético motivado financeiramente foi observado abusando do Console Serial do Microsoft Azure em máquinas virtuais (VMs) para instalar ferramentas de gerenciamento remoto de terceiros em ambientes comprometidos.

A Mandiant, subsidiária do Google, atribuiu a atividade a um grupo de ameaças que rastreia sob o nome UNC3944, também conhecido como Roasted 0ktapus e Scattered Spider.

"Este método de ataque foi único, pois evitou muitos dos métodos de detecção tradicionais empregados dentro do Azure e forneceu ao atacante acesso administrativo completo à VM", disse a empresa de inteligência de ameaças.

O adversário emergente, que veio à tona no final do ano passado, é conhecido por aproveitar ataques de troca de SIM para violar empresas de telecomunicações e de terceirização de processos de negócios (BPOs) desde pelo menos maio de 2022.

Posteriormente, a Mandiant também descobriu que a UNC3944 estava utilizando um carregador chamado STONESTOP para instalar um driver malicioso assinado chamado POORTRY, projetado para encerrar processos associados a software de segurança e excluir arquivos como parte de um ataque BYOVD.

Atualmente não se sabe como o ator de ameaça realiza as trocas de SIM, embora se suspeite que a metodologia de acesso inicial envolva o uso de mensagens de phishing por SMS direcionadas a usuários privilegiados para obter suas credenciais e, em seguida, realizar uma troca de SIM para receber o token de autenticação de dois fatores (2FA) em um cartão SIM sob seu controle.

Munido do acesso elevado, o ator de ameaça passa a investigar a rede-alvo explorando extensões de VM do Azure, como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot e Azure Policy guest configuration.

"Assim que o atacante conclui sua reconhecimento, ele utiliza a funcionalidade do console serial para obter um prompt de comando administrativo dentro de uma VM do Azure", disse a Mandiant, acrescentando que observou a UNC3944 fazendo uso do PowerShell para implantar ferramentas legítimas de administração remota.

O desenvolvimento é mais uma evidência de atacantes aproveitando técnicas de "living-off-the-land" (LotL) para sustentar e avançar um ataque, enquanto simultaneamente contornam a detecção.

"O uso inovador do console serial pelos atacantes é um lembrete de que esses ataques não se limitam mais à camada do sistema operacional", disse a Mandiant.

"Infelizmente, os recursos em nuvem muitas vezes são mal compreendidos, levando a configurações incorretas que podem deixar esses ativos vulneráveis ​​a ataques.

Embora os métodos de acesso inicial, movimentação lateral e persistência variem de um atacante para outro, uma coisa é clara: os atacantes têm seus olhos na nuvem".

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...