18/05/23
Финансово мотивированная группа злоумышленников, отслеживаемая специалистами Mandiant под идентификатором UNC3944, использует фишинговые атаки и метод «SIM Swapping» для взлома учётных записей администратора Microsoft Azure и получения доступа к виртуальным машинам.
Mandiant сообщает, что группировка UNC3944 активна как минимум с мая 2022 года, и её вредоносные кампании обычно направлены на кражу данных у организаций, использующих службу облачных вычислений Microsoft.
Первоначальный доступ к учётной записи администратора Azure осуществляется путём похищения учётных данных в результате SMS-фишинга. Это вполне привычная тактики для UNC3944, согласно Securitylab.
Затем злоумышленники обращаются к агентам службы поддержки Azure, выдавая себя за администратора целевой организации, чтобы обманом заставить сотрудников поддержки отправить SMS-код подтверждения на номер телефона настоящего администратора.
Однако агенты поддержки не в курсе, что хакеры заранее произвели SIM-Swapping и завладели номером администратора. В связи с этим мошенники получают необходимый им SMS-код, а настоящий администратор даже не догадывается, что кто-то посторонний получил системный доступ.
Mandiant ещё предстоит определить, как конкретно хакеры выполняют SIM Swapping в свой мошеннической схеме, однако предыдущие случаи показывают, что для незаконного переноса номера достаточно лишь знать номер телефона жертвы и иметь некоторые договорённости с недобросовестными сотрудниками телекоммуникационной компании.
Как только злоумышленники закрепляются в среде Azure целевой организации, они используют свои права администратора для сбора информации, изменения существующих учётных записей Azure (по мере необходимости) или создания новых.
На следующем этапе хакеры UNC3944 используют расширения Azure для ведения наблюдения и сбора информации, маскируя свои вредоносные операции под кажущиеся безобидными повседневные задачи, сочетая их в том числе с обычной активностью.
Расширения Azure — это «дополнительные» функции и службы, которые могут быть интегрированы в виртуальную машину Azure для расширения возможностей, автоматизации задач и т.д. Поскольку эти расширения выполняются внутри виртуальной машины и обычно используются в законных целях, они практически никогда не вызывают подозрений.
В рассмотренной Mandiant вредоносной кампании злоумышленники злоупотребили встроенными диагностическими расширениями Azure, такими как «CollectGuestLogs», которые использовались хакерами для сбора файлов журнала со взломанной конечной точки. Кроме того, Mandiant обнаружил доказательства того, что хакеры пытались злоупотреблять и другими расширениями: Azure Network Watcher, Guess Agent Automatic Log Collection, VMSnapshot, Guest Configuration.
Далее, UNC3944 воспользовались последовательной консолью Azure для получения доступа к виртуальным машинам и запуска вредоносных команд через последовательный порт.
«Этот метод атаки был уникален тем, что он позволил избежать многих традиционных методов обнаружения, используемых в Azure, и предоставил злоумышленнику полный административный доступ к виртуальной машине», — объясняется в отчёте Mandiant.
В Mandiant отметили, что «whoami» — это первая команда, которую злоумышленники выполняют, чтобы идентифицировать текущего вошедшего в систему пользователя и собрать достаточно информации для дальнейшего использования. Затем злоумышленники используют PowerShell для сохранения постоянства доступа к виртуальной машине и установки нескольких коммерческих средств удалённого администрирования, не названных в отчёте исследователей.
«Преимущество использования этих инструментов заключается в том, что они являются законно подписанными приложениями и предоставляют злоумышленнику удалённый доступ без запуска оповещений на многих EDR-платформах».
Следующим шагом для UNC3944 является создание обратного SSH-туннеля к их C2-серверу, чтобы поддерживать скрытый и постоянный доступ по защищенному каналу и обходить сетевые ограничения, а также средства контроля безопасности. Злоумышленники настраивают этот обратный туннель с переадресацией портов, облегчая прямое подключение к виртуальной машине Azure через RDP.
Наконец, злоумышленники подключаются к виртуальной машине Azure через обратную оболочку и только после этого приступают к расширению своего присутствия во взломанной среде и похищению необходимых им данных.
Атака, рассмотренная Mandiant, демонстрирует глубокое понимание UNC3944 среды Azure и того, как они могут использовать встроенные инструменты, чтобы избежать обнаружения. А когда это технические знания сочетаются с высокоуровневыми навыками социальной инженерии, которые помогают злоумышленникам, например, выполнять подмену телефонных номеров, риск возрастает многократно.
