Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры UNC3944 используют SIM Swapping для проникновения в целевые сети Azure

18/05/23

Финансово мотивированная группа злоумышленников, отслеживаемая специалистами Mandiant под идентификатором UNC3944, использует фишинговые атаки и метод «SIM Swapping» для взлома учётных записей администратора Microsoft Azure и получения доступа к виртуальным машинам.

Mandiant сообщает, что группировка UNC3944 активна как минимум с мая 2022 года, и её вредоносные кампании обычно направлены на кражу данных у организаций, использующих службу облачных вычислений Microsoft.

Первоначальный доступ к учётной записи администратора Azure осуществляется путём похищения учётных данных в результате SMS-фишинга. Это вполне привычная тактики для UNC3944, согласно Securitylab.

Затем злоумышленники обращаются к агентам службы поддержки Azure, выдавая себя за администратора целевой организации, чтобы обманом заставить сотрудников поддержки отправить SMS-код подтверждения на номер телефона настоящего администратора.

Однако агенты поддержки не в курсе, что хакеры заранее произвели SIM-Swapping и завладели номером администратора. В связи с этим мошенники получают необходимый им SMS-код, а настоящий администратор даже не догадывается, что кто-то посторонний получил системный доступ.

Mandiant ещё предстоит определить, как конкретно хакеры выполняют SIM Swapping в свой мошеннической схеме, однако предыдущие случаи показывают, что для незаконного переноса номера достаточно лишь знать номер телефона жертвы и иметь некоторые договорённости с недобросовестными сотрудниками телекоммуникационной компании.

v7t8ejwfmgixb7j5e2scouakbis68q2p

Как только злоумышленники закрепляются в среде Azure целевой организации, они используют свои права администратора для сбора информации, изменения существующих учётных записей Azure (по мере необходимости) или создания новых.

На следующем этапе хакеры UNC3944 используют расширения Azure для ведения наблюдения и сбора информации, маскируя свои вредоносные операции под кажущиеся безобидными повседневные задачи, сочетая их в том числе с обычной активностью.

Расширения Azure — это «дополнительные» функции и службы, которые могут быть интегрированы в виртуальную машину Azure для расширения возможностей, автоматизации задач и т.д. Поскольку эти расширения выполняются внутри виртуальной машины и обычно используются в законных целях, они практически никогда не вызывают подозрений.

В рассмотренной Mandiant вредоносной кампании злоумышленники злоупотребили встроенными диагностическими расширениями Azure, такими как «CollectGuestLogs», которые использовались хакерами для сбора файлов журнала со взломанной конечной точки. Кроме того, Mandiant обнаружил доказательства того, что хакеры пытались злоупотреблять и другими расширениями: Azure Network Watcher, Guess Agent Automatic Log Collection, VMSnapshot, Guest Configuration.

Далее, UNC3944 воспользовались последовательной консолью Azure для получения доступа к виртуальным машинам и запуска вредоносных команд через последовательный порт.

«Этот метод атаки был уникален тем, что он позволил избежать многих традиционных методов обнаружения, используемых в Azure, и предоставил злоумышленнику полный административный доступ к виртуальной машине», — объясняется в отчёте Mandiant.

В Mandiant отметили, что «whoami» — это первая команда, которую злоумышленники выполняют, чтобы идентифицировать текущего вошедшего в систему пользователя и собрать достаточно информации для дальнейшего использования. Затем злоумышленники используют PowerShell для сохранения постоянства доступа к виртуальной машине и установки нескольких коммерческих средств удалённого администрирования, не названных в отчёте исследователей.

«Преимущество использования этих инструментов заключается в том, что они являются законно подписанными приложениями и предоставляют злоумышленнику удалённый доступ без запуска оповещений на многих EDR-платформах».

Следующим шагом для UNC3944 является создание обратного SSH-туннеля к их C2-серверу, чтобы поддерживать скрытый и постоянный доступ по защищенному каналу и обходить сетевые ограничения, а также средства контроля безопасности. Злоумышленники настраивают этот обратный туннель с переадресацией портов, облегчая прямое подключение к виртуальной машине Azure через RDP.

Наконец, злоумышленники подключаются к виртуальной машине Azure через обратную оболочку и только после этого приступают к расширению своего присутствия во взломанной среде и похищению необходимых им данных.

Атака, рассмотренная Mandiant, демонстрирует глубокое понимание UNC3944 среды Azure и того, как они могут использовать встроенные инструменты, чтобы избежать обнаружения. А когда это технические знания сочетаются с высокоуровневыми навыками социальной инженерии, которые помогают злоумышленникам, например, выполнять подмену телефонных номеров, риск возрастает многократно.

Темы:УгрозыфишингSIM-swappingMandiantMicrosoft Azure
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...