Киберпрестъпната група, която често използва smishing за първоначален достъп, заобикаля традиционните техники за насочване и избягване на операционната система, за да получи директен достъп до облака.

Извършител на атаки, известен с това, че се насочва към облачни среди на Microsoft, използва функцията за серийна конзола на виртуални машини Azure, за да превземе виртуалната машина и да инсталира софтуер за отдалечено управление от трети страни в облачните среди на клиентите.

Групата, проследена като UNC3844 от изследователи на Mandiant Intelligence, използва този метод за атака, за да заобиколи традиционните средства за защита, използвани в Azure, с помощта на атака, която в крайна сметка има за цел да открадне данни, които може да използва за финансова печалба, разкриха изследователите на Mandiant в публикация в блога си тази седмица.

Използвайки един от типичните си методи за първоначален достъп – който включва компрометиране на администраторски идентификационни данни или достъп до други привилегировани акаунти чрез злонамерени smishing кампании – UNC3844 установява устойчивост, използвайки SIM swapping, и получава пълен достъп до Azure tenant, казват изследователите.

Оттук нататък нападателят има редица възможности за злонамерена дейност, включително изнасяне на информация за потребителите в наемателя на облачно пространство, събиране на информация за конфигурацията на средата Azure и различните виртуални машини, както и създаване или модифициране на акаунти.

„Mandiant наблюдава, че този нападател използва достъпа си до високопривилегирован акаунт в Azure, за да използва Azure Extensions за разузнавателни цели“, пишат изследователите. „Тези разширения се изпълняват вътре във виртуална машина и имат различни легитимни приложения“.

Отвличане на виртуалната машина

Като използва по-специално серийната конзола в Microsoft Azure, UNC3844 може да се свърже с работеща операционна система чрез сериен порт, давайки на нападателя възможност освен операционната система да получи достъп до облачната среда.

„Както и при други платформи за виртуализация, серийната връзка позволява отдалечено управление на системите чрез конзолата на Azure“, пишат те. „Новото използване на серийната конзола от атакуващите е напомняне, че тези атаки вече не са ограничени до слоя на операционната система.“

UNC3844 е финансово мотивирана група за заплахи, активна от май миналата година, която обикновено се насочва към среди на Microsoft с цел крайна финансова изгода. Преди това през декември групата беше забелязана да използва подписани от Microsoft драйвери за дейности след експлоатиране.

Въпреки това, след като UNC3844 поеме контрол над среда Azure и използва тактиките на LotL, за да се придвижва в облака на клиента, последствията надхвърлят обикновената ексфилтрация на данни или финансовата печалба, отбелязва един експерт по сигурността.

„Получавайки контрол над средата Azure на дадена организация, групата може да създаде дълбоки фалшификати, да променя данни и дори да контролира IoT/OT активи, които често се управляват в рамките на облака“, казва Бъд Брумхед, главен изпълнителен директор на Viakoo, доставчик на автоматизирана киберхигиена на IoT, в изявление, изпратено до Dark Reading.

От виртуалната машина към средата

В публикацията Mandiant подробно описва как заплахата се насочва към виртуалната машина и в крайна сметка инсталира налични в търговската мрежа инструменти за отдалечено управление и администриране в облачната среда Azure, за да поддържа присъствие.

„Предимството на използването на тези инструменти е, че те са законно подписани приложения и осигуряват на нападателя отдалечен достъп, без да предизвикват предупреждения в много платформи за откриване на крайни точки“, пишат изследователите.

Преди да се прехвърли към друга система, нападателят е създал обратен SSH (Secure Shell Protocol) тунел към своя сървър за управление и контрол (C2) и е внедрил обратен тунел, конфигуриран така, че всяка входяща връзка към порта 12345 на отдалечената машина да бъде пренасочвана към порта 3389 на локалния хост, обясняват те в публикацията. Това позволява на UNC3844 директна връзка с виртуалната машина Azure чрез Remote Desktop, от която могат да улеснят възстановяването на паролата на администраторския акаунт, казват изследователите.

Атаката демонстрира еволюцията и нарастването на сложността както на тактиките за избягване на атаки, така и на таргетирането на нападателите, последното от които вече излиза извън рамките на мрежата и крайната точка директно към мобилните устройства и облака, отбелязва Керн Смит, вицепрезидент за Америка, инженеринг продажби във фирмата за мобилна сигурност Zimperium.

„Все по-често тези атаки се насочват към потребители, за които организациите нямат видимост, като използват традиционни инструменти за сигурност – като например smishing – за да получат информацията, необходима за осъществяване на тези видове атаки“, казва той.

Как да се защитите от тази атака срещу виртуални машини

За да предотвратят този вид заплаха, организациите трябва първо да предотвратят целевите smishing кампании „по начин, който дава възможност на служителите им, като същевременно не възпрепятства производителността и не засяга неприкосновеността на личния живот на потребителите“, казва Смит.

Mandiant препоръчва ограничаване на достъпа до каналите за отдалечено администриране и деактивиране на SMS като метод за многофакторно удостоверяване, когато това е възможно.

„Освен това Mandiant препоръчва да се прегледат разрешенията на потребителските акаунти за прекалено разрешаващи потребители и да се приложат подходящи политики за условна сила на удостоверяване на достъпа“, пишат изследователите.

Те също така насочиха организациите към наличните методи за удостоверяване в Azure AD на уебсайта на Microsoft, като препоръчаха да се конфигурира достъп до серийната конзола с най-малки права в съответствие с указанията на Microsoft.