Виртуалки на Azure са отвлечени при кибератака в облака

Киберпрестъпната група, която често използва smishing за първоначален достъп, заобикаля традиционните техники за насочване и избягване на операционната система, за да получи директен достъп до облака.

Извършител на атаки, известен с това, че се насочва към облачни среди на Microsoft, използва функцията за серийна конзола на виртуални машини Azure, за да превземе виртуалната машина и да инсталира софтуер за отдалечено управление от трети страни в облачните среди на клиентите.

Групата, проследена като UNC3844 от изследователи на Mandiant Intelligence, използва този метод за атака, за да заобиколи традиционните средства за защита, използвани в Azure, с помощта на атака, която в крайна сметка има за цел да открадне данни, които може да използва за финансова печалба, разкриха изследователите на Mandiant в публикация в блога си тази седмица.

Използвайки един от типичните си методи за първоначален достъп – който включва компрометиране на администраторски идентификационни данни или достъп до други привилегировани акаунти чрез злонамерени smishing кампании – UNC3844 установява устойчивост, използвайки SIM swapping, и получава пълен достъп до Azure tenant, казват изследователите.

Оттук нататък нападателят има редица възможности за злонамерена дейност, включително изнасяне на информация за потребителите в наемателя на облачно пространство, събиране на информация за конфигурацията на средата Azure и различните виртуални машини, както и създаване или модифициране на акаунти.

„Mandiant наблюдава, че този нападател използва достъпа си до високопривилегирован акаунт в Azure, за да използва Azure Extensions за разузнавателни цели“, пишат изследователите. „Тези разширения се изпълняват вътре във виртуална машина и имат различни легитимни приложения“.

Отвличане на виртуалната машина

Като използва по-специално серийната конзола в Microsoft Azure, UNC3844 може да се свърже с работеща операционна система чрез сериен порт, давайки на нападателя възможност освен операционната система да получи достъп до облачната среда.

„Както и при други платформи за виртуализация, серийната връзка позволява отдалечено управление на системите чрез конзолата на Azure“, пишат те. „Новото използване на серийната конзола от атакуващите е напомняне, че тези атаки вече не са ограничени до слоя на операционната система.“

UNC3844 е финансово мотивирана група за заплахи, активна от май миналата година, която обикновено се насочва към среди на Microsoft с цел крайна финансова изгода. Преди това през декември групата беше забелязана да използва подписани от Microsoft драйвери за дейности след експлоатиране.

Въпреки това, след като UNC3844 поеме контрол над среда Azure и използва тактиките на LotL, за да се придвижва в облака на клиента, последствията надхвърлят обикновената ексфилтрация на данни или финансовата печалба, отбелязва един експерт по сигурността.

„Получавайки контрол над средата Azure на дадена организация, групата може да създаде дълбоки фалшификати, да променя данни и дори да контролира IoT/OT активи, които често се управляват в рамките на облака“, казва Бъд Брумхед, главен изпълнителен директор на Viakoo, доставчик на автоматизирана киберхигиена на IoT, в изявление, изпратено до Dark Reading.

От виртуалната машина към средата

В публикацията Mandiant подробно описва как заплахата се насочва към виртуалната машина и в крайна сметка инсталира налични в търговската мрежа инструменти за отдалечено управление и администриране в облачната среда Azure, за да поддържа присъствие.

„Предимството на използването на тези инструменти е, че те са законно подписани приложения и осигуряват на нападателя отдалечен достъп, без да предизвикват предупреждения в много платформи за откриване на крайни точки“, пишат изследователите.

Преди да се прехвърли към друга система, нападателят е създал обратен SSH (Secure Shell Protocol) тунел към своя сървър за управление и контрол (C2) и е внедрил обратен тунел, конфигуриран така, че всяка входяща връзка към порта 12345 на отдалечената машина да бъде пренасочвана към порта 3389 на локалния хост, обясняват те в публикацията. Това позволява на UNC3844 директна връзка с виртуалната машина Azure чрез Remote Desktop, от която могат да улеснят възстановяването на паролата на администраторския акаунт, казват изследователите.

Атаката демонстрира еволюцията и нарастването на сложността както на тактиките за избягване на атаки, така и на таргетирането на нападателите, последното от които вече излиза извън рамките на мрежата и крайната точка директно към мобилните устройства и облака, отбелязва Керн Смит, вицепрезидент за Америка, инженеринг продажби във фирмата за мобилна сигурност Zimperium.

„Все по-често тези атаки се насочват към потребители, за които организациите нямат видимост, като използват традиционни инструменти за сигурност – като например smishing – за да получат информацията, необходима за осъществяване на тези видове атаки“, казва той.

Как да се защитите от тази атака срещу виртуални машини

За да предотвратят този вид заплаха, организациите трябва първо да предотвратят целевите smishing кампании „по начин, който дава възможност на служителите им, като същевременно не възпрепятства производителността и не засяга неприкосновеността на личния живот на потребителите“, казва Смит.

Mandiant препоръчва ограничаване на достъпа до каналите за отдалечено администриране и деактивиране на SMS като метод за многофакторно удостоверяване, когато това е възможно.

„Освен това Mandiant препоръчва да се прегледат разрешенията на потребителските акаунти за прекалено разрешаващи потребители и да се приложат подходящи политики за условна сила на удостоверяване на достъпа“, пишат изследователите.

Те също така насочиха организациите към наличните методи за удостоверяване в Azure AD на уебсайта на Microsoft, като препоръчаха да се конфигурира достъп до серийната конзола с най-малки права в съответствие с указанията на Microsoft.

Източник: DARKReading

Подобни публикации

26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
25 септември 2023

Акаунтът на Буретин в X беше хакнат

Хакери компрометират акаунта на Виталик Буретин в X, като открадват...
Бъдете социални
Още по темата
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

Microsoft ще започне да изт...

Днес Microsoft съобщи, че API на...
20/09/2023

Microsoft: Кибератаките "Pe...

Microsoft предупреждава, че глобална кампания за...
Последно добавени
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!