Microsoft bulut ortamlarını hedef almasıyla tanınan bir tehdit aktörü, artık Azure sanal makinelerinde (VM’ler) seri konsol özelliğini kullanarak müşterilerin bulut ortamlarına üçüncü taraf uzaktan yönetim yazılımı yüklemek üzere VM’yi ele geçiriyor.
Mandiant Intelligence araştırmacıları tarafından UNC3844 olarak izlenen tehdit grubu, bu saldırı yöntemini, nihayetinde finansal kazanç için kullanabileceği verileri çalmayı amaçlayan arazide yaşayan (LotL) bir saldırı ile Azure’da kullanılan geleneksel güvenlik algılamalarını atlatmak için kullanıyor. , Mandiant araştırmacıları bu hafta bir blog gönderisinde açıkladı.
Yönetici kimlik bilgilerinden ödün vermeyi veya kötü amaçlı smishing kampanyaları yoluyla diğer ayrıcalıklı hesaplara erişmeyi içeren tipik ilk erişim yöntemlerinden birini kullanma — Araştırmacılar, UNC3844’ün SIM değiştirmeyi kullanarak kalıcılık oluşturduğunu ve Azure kiracısına tam erişim kazandığını söyledi.
Saldırganın oradan, kiracıdaki kullanıcılarla ilgili bilgilerin dışarı aktarılması, Azure ortam yapılandırması ve çeşitli VM’ler hakkında bilgi toplanması ve hesapların oluşturulması veya değiştirilmesi dahil olmak üzere bir dizi kötü amaçlı etkinlik seçeneği vardır.
Araştırmacılar, “Mandiant, bu saldırganın, keşif amacıyla Azure Uzantılarından yararlanmak için yüksek ayrıcalıklı bir Azure hesabına erişimlerini kullandığını gözlemledi” diye yazdı. “Bu uzantılar bir VM içinde yürütülür ve çeşitli meşru kullanımlara sahiptir.”
VM’yi kaçırma
UNC3844, özellikle Microsoft Azure’daki seri konsoldan yararlanarak, çalışan bir işletim sistemine seri bağlantı noktası aracılığıyla bağlanabilir ve saldırgana işletim sisteminin yanı sıra bir bulut ortamına erişme seçeneği sunar.
“Diğer sanallaştırma platformlarında olduğu gibi, seri bağlantı Azure konsolu aracılığıyla sistemlerin uzaktan yönetimine izin veriyor” diye yazdılar. “Saldırganlar tarafından seri konsolun yeni kullanımı, bu saldırıların artık işletim sistemi katmanıyla sınırlı olmadığını hatırlatıyor.”
UNC3844, geçen Mayıs ayından bu yana aktif olan ve genellikle nihai mali kazanç için Microsoft ortamlarını hedefleyen mali amaçlı bir tehdit grubudur. Grubun daha önce Aralık ayında, istismar sonrası faaliyetler için Microsoft imzalı sürücülerden yararlandığı görüldü.
Bununla birlikte, bir güvenlik uzmanına göre, UNC3844 bir Azure ortamının kontrolünü ele geçirip bir müşterinin bulutu içinde hareket etmek için LotL taktiklerini kullandığında, sonuçlar salt veri hırsızlığı veya mali kazançtan öteye gidiyor.
Otomatik IoT siber hijyen sağlayıcısı Viakoo CEO’su Bud Broomhead, “Bir kuruluşun Azure ortamının kontrolünü ele geçirerek, tehdit aktörü derin sahtekarlıklar yerleştirebilir, verileri değiştirebilir ve hatta genellikle bulut içinde yönetilen IoT/OT varlıklarını kontrol edebilir.” , Dark Reading’e gönderdiği açıklamada söyledi.
Sanal Makineden Ortama
Mandiant, gönderide, tehdit aktörünün VM’yi nasıl hedeflediğini ve nihai olarak varlığını sürdürmek için Azure bulut ortamı içinde piyasada bulunan uzaktan yönetim ve yönetim araçlarını nasıl yüklediğini ayrıntılarıyla anlattı.
Araştırmacılar, “Bu araçları kullanmanın avantajı, yasal olarak imzalanmış uygulamalar olmaları ve birçok uç nokta algılama platformunda uyarıları tetiklemeden saldırgana uzaktan erişim sağlamalarıdır” diye yazdı.
Saldırgan, başka bir sisteme geçmeden önce, komuta ve kontrol (C2) sunucusuna bir ters SSH (Güvenli Kabuk Protokolü) tüneli kurdu ve herhangi bir gelen bağlantıyı uzak makine bağlantı noktası 12345’e yönlendirecek şekilde yapılandırılmış bir ters tünel dağıttı. 3389 numaralı localhost bağlantı noktasına iletildi, gönderide açıkladılar. Araştırmacılar, bunun, UNC3844’ün bir yönetici hesabının parola sıfırlamasını kolaylaştırabilecekleri Uzak Masaüstü aracılığıyla Azure VM’ye doğrudan bir bağlantıya izin verdiğini söyledi.
Amerika Kıta Başkan Yardımcısı Kern Smith, saldırının hem saldırganların kaçınma taktiklerindeki hem de hedeflemedeki karmaşıklıktaki evrimi ve büyümeyi gösterdiğini belirtiyor. mobil güvenlik şirketi Zimperium.
“Giderek artan bir şekilde, bu saldırılar, kuruluşların geleneksel güvenlik araçlarını kullanarak hiçbir görünürlüğe sahip olmadığı kullanıcıları hedefliyor. — smishing gibi — Bu tür saldırıları etkinleştirmek için gereken bilgileri elde etmek için” diyor.
Bu Sanal Makine Saldırısına Karşı Nasıl Savunma Yapılır?
Smith, bu tür bir tehdide karşı koymak için, kuruluşların öncelikle “üretkenliği engellemeden veya kullanıcı mahremiyetini etkilemeden işgücüne olanak sağlayacak şekilde” hedeflenen ezme kampanyalarını önlemesi gerektiğini söylüyor.
Mandiant, mümkün olan yerlerde uzaktan yönetim kanallarına erişimin kısıtlanmasını ve çok faktörlü bir kimlik doğrulama yöntemi olarak SMS’in devre dışı bırakılmasını önerir.
Araştırmacılar, “Ayrıca Mandiant, aşırı izin veren kullanıcılar için kullanıcı hesabı izinlerinin gözden geçirilmesini ve uygun Koşullu Erişim Kimlik Doğrulama Gücü politikalarının uygulanmasını öneriyor.”
Ayrıca kuruluşları Microsoft web sitesindeki Azure AD’deki mevcut kimlik doğrulama yöntemlerine yönlendirerek, seri konsola en az ayrıcalıklı erişimin Microsoft’un kılavuzuna göre yapılandırılmasını önerdiler.