Um ator cibernético motivado financeiramente foi observado abusando do Console Serial do Microsoft Azure em máquinas virtuais (VMs) para instalar ferramentas de gerenciamento remoto de terceiros em ambientes comprometidos.
A Mandiant, subsidiária do Google, atribuiu a atividade a um grupo de ameaças que rastreia sob o nome UNC3944, também conhecido como Roasted 0ktapus e Scattered Spider.
"Este método de ataque foi único, pois evitou muitos dos métodos de detecção tradicionais empregados dentro do Azure e forneceu ao atacante acesso administrativo completo à VM", disse a empresa de inteligência de ameaças.
O adversário emergente, que veio à tona no final do ano passado, é conhecido por aproveitar ataques de troca de SIM para violar empresas de telecomunicações e de terceirização de processos de negócios (BPOs) desde pelo menos maio de 2022.
Posteriormente, a Mandiant também descobriu que a UNC3944 estava utilizando um carregador chamado STONESTOP para instalar um driver malicioso assinado chamado POORTRY, projetado para encerrar processos associados a software de segurança e excluir arquivos como parte de um ataque BYOVD.
Atualmente não se sabe como o ator de ameaça realiza as trocas de SIM, embora se suspeite que a metodologia de acesso inicial envolva o uso de mensagens de phishing por SMS direcionadas a usuários privilegiados para obter suas credenciais e, em seguida, realizar uma troca de SIM para receber o token de autenticação de dois fatores (2FA) em um cartão SIM sob seu controle.
Munido do acesso elevado, o ator de ameaça passa a investigar a rede-alvo explorando extensões de VM do Azure, como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot e Azure Policy guest configuration.
"Assim que o atacante conclui sua reconhecimento, ele utiliza a funcionalidade do console serial para obter um prompt de comando administrativo dentro de uma VM do Azure", disse a Mandiant, acrescentando que observou a UNC3944 fazendo uso do PowerShell para implantar ferramentas legítimas de administração remota.
O desenvolvimento é mais uma evidência de atacantes aproveitando técnicas de "living-off-the-land" (LotL) para sustentar e avançar um ataque, enquanto simultaneamente contornam a detecção.
"O uso inovador do console serial pelos atacantes é um lembrete de que esses ataques não se limitam mais à camada do sistema operacional", disse a Mandiant.
"Infelizmente, os recursos em nuvem muitas vezes são mal compreendidos, levando a configurações incorretas que podem deixar esses ativos vulneráveis a ataques.
Embora os métodos de acesso inicial, movimentação lateral e persistência variem de um atacante para outro, uma coisa é clara: os atacantes têm seus olhos na nuvem".
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...