(https://i.imgur.com/juYG05a.png)
Se ha observado que un actor cibernético motivado financieramente abusa de la consola serie de Microsoft Azure en máquinas virtuales (VM) para instalar herramientas de administración remota de terceros en entornos comprometidos.
Mandiant, propiedad de Google, atribuyó la actividad a un grupo de amenazas que rastrea bajo el nombre UNC3944, que también se conoce como Roasted 0ktapus y Scattered Spider.
"Este método de ataque fue único en el sentido de que evitó muchos de los métodos de detección tradicionales empleados dentro de Azure y proporcionó al atacante acceso administrativo completo a la máquina virtual", dijo la firma de inteligencia de amenazas.
Se sabe que el adversario emergente, que salió a la luz por primera vez a fines del año pasado, aprovecha los ataques de intercambio de SIM para violar las empresas de telecomunicaciones y externalización de procesos comerciales (BPO) desde al menos mayo de 2022.
Posteriormente, Mandiant también encontró UNC3944 utilizando un cargador llamado STONESTOP para instalar un controlador firmado malicioso denominado POORTRY que está diseñado para terminar los procesos asociados con el software de seguridad y eliminar archivos como parte de un ataque BYOVD.
(https://i.imgur.com/HNoZm0N.gif)
Actualmente no se sabe cómo el actor de la amenaza lleva a cabo los intercambios de SIM, aunque se sospecha que la metodología de acceso inicial implica el uso de mensajes de phishing SMS dirigidos a usuarios privilegiados para obtener sus credenciales y luego organizar un intercambio de SIM para recibir el token de autenticación de dos factores (2FA) en una tarjeta SIM bajo su control.
Armado con el acceso elevado, el actor de amenazas se mueve para inspeccionar la red de destino aprovechando las extensiones de máquina virtual de Azure, como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot y la configuración de invitado de Azure Policy.
"Una vez que el atacante completa su reconocimiento, emplea la funcionalidad de consola serie para obtener un símbolo del sistema administrativo dentro de una máquina virtual Azure", dijo Mandiant, y agregó que observó que UNC3944 hacía uso de PowerShell para implementar herramientas legítimas de administración remota.
(https://i.imgur.com/Zmpu2O7.png)
El desarrollo es otra evidencia de que los atacantes aprovechan las técnicas de vida fuera de la tierra (LotL) para sostener y avanzar en un ataque, al mismo tiempo que eluden la detección.
"El uso novedoso de la consola serie por parte de los atacantes es un recordatorio de que estos ataques ya no se limitan a la capa del sistema operativo", dijo Mandiant.
"Desafortunadamente, los recursos de la nube a menudo son mal entendidos, lo que lleva a configuraciones erróneas que pueden dejar estos activos vulnerables a los atacantes. Si bien los métodos de acceso inicial, movimiento lateral y persistencia varían de un atacante a otro, una cosa está clara: los atacantes tienen sus ojos en la nube.
Fuente: https://thehackernews.com