Ciberdelincuentes utilizan la técnica de intercambio de SIM para obtener acceso a las máquinas de Microsoft Azure

Los investigadores descubrieron un grupo de amenazas motivado financieramente conocido como ‘UNC3944’ que emplea técnicas de phishing y de intercambio de SIM para tomar el control de las cuentas de administrador de Microsoft Azure.

Permitiéndoles explotar la consola serial de Azure en máquinas virtuales para la instalación persistente de software de administración remota y vigilancia encubierta a través de extensiones de Azure.

UNC3944, un grupo de amenaza identificado, ha estado operando activamente desde mayo de 2022, según informó Mandiant. Su objetivo principal es extraer datos confidenciales de organizaciones específicas aprovechando el servicio de computación en la nube de Microsoft.

El notorio grupo UNC3944, conocido por sus actividades maliciosas, estuvo previamente vinculado al desarrollo de los siguientes kits de herramientas:-

cargadora STONESTOP
Controlador en modo kernel POORTRY
Si bien todas estas herramientas se diseñaron específicamente para deshabilitar el software de seguridad, representaban una amenaza importante para los sistemas informáticos.

Acceso inicial
Aquí, para firmar sus controladores de kernel, los actores de amenazas utilizaron cuentas de desarrollador de hardware de Microsoft robadas a través de las cuales operaron sus procedimientos.

Para el acceso inicial, los actores de amenazas se basan principalmente en las credenciales comprometidas de los administradores u otras cuentas privilegiadas.

El atacante utiliza el phishing de SMS y el intercambio de SIM para hacerse pasar por usuarios privilegiados y engañar a los agentes de la mesa de ayuda para que proporcionen códigos de reinicio de múltiples factores. Aún así, Mandiant carece de datos suficientes para identificar los detalles de la técnica de intercambio de SIM.

A continuación, hemos mencionado todas las extensiones utilizadas por los atacantes: –

Vigilante de la red Azure
Recopilación automática de registros de agentes invitados
Instantánea VMS
Configuración de invitados
Análisis técnico
UNC3944 emplea Azure Extensions durante la fase de ataque subsiguiente, empleando vigilancia encubierta y técnicas de recopilación de información para camuflar sus actividades maliciosas como operaciones diarias ordinarias, mezclándose efectivamente con las actividades cotidianas.

Las extensiones de Azure son características y servicios adicionales diseñados para mejorar la funcionalidad y la automatización de las máquinas virtuales de Azure, y ofrecen una variedad de capacidades adicionales y opciones de automatización de tareas cuando están integradas.

Al ejecutarse dentro de la máquina virtual y utilizarse principalmente con fines legítimos, estas extensiones poseen un sigilo inherente, lo que las hace parecer menos sospechosas.

El actor de amenazas explotó las capacidades inherentes de las extensiones de diagnóstico de Azure, específicamente la función “CollectGuestLogs”, para recopilar archivos de registro del punto final comprometido.

Para el acceso directo de la consola administrativa a las máquinas virtuales, UNC3944 aprovecha Azure Serial Console. Esto permite a los actores de amenazas operar el puerto serie para ejecutar comandos a través del símbolo del sistema.

La observación de Mandiant revela que la acción inicial que toman los intrusos es ejecutar el comando “whoami” para determinar el usuario activo y adquirir datos esenciales para avanzar en sus tácticas de explotación.

Los actores de amenazas emplean PowerShell para reforzar su presencia en la máquina virtual (VM) e implementar varias herramientas de administrador remoto omitidas intencionalmente del informe.

UNC3944 planea establecer una conexión encubierta y continua a su servidor C2 a través de un túnel SSH inverso . Esto les permite evadir las medidas de seguridad configurando el reenvío de puertos para permitir el acceso directo a una máquina virtual de Azure a través de Escritorio remoto.

Al obtener acceso no autorizado a una máquina virtual (VM) de destino, el atacante crea un nuevo proceso, específicamente “C:\Windows\System32\sacsess.[exe]”, que posteriormente desencadena la ejecución de “cmd.[exe]”.

Dentro del símbolo del sistema, el atacante ejecuta el comando “whoami”, revelando el nombre de usuario del usuario actualmente activo.

El auge de los ataques Living off the Land, que aprovechan las herramientas integradas para evitar la detección, destaca el panorama de amenazas en expansión más allá de la capa del sistema operativo, como lo demuestra la utilización innovadora de la consola serie por parte de los atacantes.

Mandiant aconseja a las organizaciones que limiten el acceso de administración remota y se abstengan de usar SMS como una opción de autenticación multifactor siempre que sea factible para mejorar las medidas de seguridad.

Esta recomendación tiene como objetivo mitigar los riesgos potenciales al reducir la exposición al acceso no autorizado y mejorar los protocolos de autenticación.