Araştırmacılar, Microsoft Azure yönetici hesaplarının kontrolünü ele geçirmek için kimlik avı ve SIM değiştirme tekniklerini kullanan ve ‘UNC3944’ olarak bilinen, finansal olarak motive edilmiş bir tehdit grubunu ortaya çıkardı.
Uzaktan yönetim yazılımının kalıcı kurulumu ve Azure Uzantıları aracılığıyla gizli gözetim için VM’lerde Azure’ın Seri Konsolundan yararlanmalarına olanak tanır.
Mandiant tarafından bildirildiği üzere, tanımlanmış bir tehdit grubu olan UNC3944, Mayıs 2022’den beri aktif olarak faaliyet gösteriyor. Birincil hedefleri, Microsoft’un bulut bilgi işlem hizmetinden yararlanarak hedeflenen kuruluşlardan hassas verileri çıkarmaktır.
Kötü niyetli etkinlikleriyle tanınan kötü şöhretli UNC3944 grubu daha önce aşağıdaki araç setlerinin geliştirilmesiyle bağlantılıydı:-
- STONESTOP yükleyici
- POORTRY çekirdek modu sürücüsü
Tüm bu araçlar, güvenlik yazılımlarını devre dışı bırakmak için özel olarak tasarlanırken, bilgisayar sistemleri için önemli bir tehdit oluşturuyordu.
İlk Erişim
Burada, çekirdek sürücülerini imzalamak için tehdit aktörleri, işlemlerini yürüttükleri çalıntı Microsoft donanım geliştirici hesaplarını kullandılar.
İlk erişim için, tehdit aktörleri öncelikle yöneticilerin veya diğer ayrıcalıklı hesapların güvenliği ihlal edilmiş kimlik bilgilerine güvenir.
Saldırgan, ayrıcalıklı kullanıcıları taklit etmek ve yardım masası temsilcilerini kandırarak çok faktörlü sıfırlama kodları sağlamaları için SMS kimlik avı ve SIM değiştirmeyi kullanır. Yine de Mandiant, SIM değiştirme tekniğinin özelliklerini belirlemek için yeterli veriye sahip değil.
Aşağıda, saldırganlar tarafından kullanılan tüm uzantılardan bahsetmiştik: –
- Azure Ağ İzleyicisi
- Konuk Aracı Otomatik Günlük Toplama
- VMS anlık görüntüsü
- Konuk yapılandırması
Teknik Analiz
UNC3944, sonraki saldırı aşamasında Azure Uzantılarını kullanır ve kötü amaçlı etkinliklerini sıradan günlük işlemler olarak kamufle etmek için gizli gözetim ve bilgi toplama teknikleri kullanır ve günlük etkinliklerle etkili bir şekilde harmanlanır.
Azure Uzantıları, Azure VM’lerinin işlevselliğini ve otomasyonunu geliştirmek için tasarlanmış, entegre edildiğinde bir dizi ek yetenek ve görev otomatikleştirme seçeneği sunan ek özellikler ve hizmetlerdir.
Sanal makine içinde yürütülen ve öncelikle meşru amaçlar için kullanılan bu uzantılar, daha az şüpheli görünmelerini sağlayan içsel bir gizliliğe sahiptir.
Tehdit aktörü, güvenliği ihlal edilmiş uç noktadan günlük dosyalarını toplamak için Azure tanılama uzantılarının doğal yeteneklerinden, özellikle “CollectGuestLogs” işlevinden yararlandı.
Sanal makinelere doğrudan yönetim konsolu erişimi için UNC3944, Azure Seri Konsolundan yararlanır. Bu, tehdit aktörlerinin komut istemi yoluyla komutları yürütmek için seri bağlantı noktasını çalıştırmasını sağlar.
Mandiant’ın gözlemi, davetsiz misafirlerin ilk eyleminin, aktif kullanıcıyı belirlemek ve istismar taktiklerini ilerletmek için gerekli verileri elde etmek için “whoami” komutunu yürütmek olduğunu ortaya koyuyor.
Tehdit aktörleri, sanal makinedeki (VM) varlıklarını güçlendirmek ve rapordan kasıtlı olarak çıkarılmış çeşitli uzaktan yönetici araçlarını dağıtmak için PowerShell’i kullanıyor.
UNC3944, ters bir SSH tüneli aracılığıyla C2 sunucularına gizli ve sürekli bir bağlantı kurmayı planlıyor. Bu, Uzak Masaüstü aracılığıyla bir Azure VM’ye doğrudan erişim sağlamak için bağlantı noktası iletmeyi yapılandırarak güvenlik önlemlerinden kaçınmalarına olanak tanır.
Saldırgan, hedef sanal makineye (VM) yetkisiz erişim elde ettikten sonra, daha sonra cmd.exe’nin yürütülmesini tetikleyen, özellikle C:\Windows\System32\sacsess.exe olmak üzere yeni bir işlem oluşturur.
Saldırgan, komut isteminde “whoami” komutunu yürüterek o anda etkin olan kullanıcının kullanıcı adını ortaya çıkarır.
Algılanmayı önlemek için yerleşik araçlardan yararlanan Karadan Uzakta Yaşam saldırılarının yükselişi, saldırganların seri konsolu yenilikçi bir şekilde kullanmasının da gösterdiği gibi, işletim sistemi katmanının ötesinde genişleyen tehdit ortamını vurgulamaktadır.
Mandiant, güvenlik önlemlerini artırmak için kuruluşlara uzaktan yönetim erişimini sınırlamalarını ve mümkün olduğunda çok faktörlü bir kimlik doğrulama seçeneği olarak SMS kullanmaktan kaçınmalarını tavsiye ediyor.
Bu öneri, yetkisiz erişime maruz kalmayı azaltarak ve kimlik doğrulama protokollerini geliştirerek potansiyel riskleri azaltmayı amaçlamaktadır.