Finansal olarak motive olmuş bir siber aktörün, güvenliği ihlal edilmiş ortamlarda üçüncü taraf uzaktan yönetim araçlarını yüklemek için sanal makinelerde (VM’ler) Microsoft Azure Seri Konsolu’nu kötüye kullandığı gözlemlendi.
Google’ın sahibi olduğu Mandiant, etkinliği adı altında izlediği bir tehdit grubuna bağladı. UNC3944Kavrulmuş 0ktapus ve Dağınık Örümcek olarak da bilinir.
Tehdit istihbaratı firması, “Bu saldırı yöntemi, Azure içinde kullanılan geleneksel algılama yöntemlerinin çoğundan kaçınması ve saldırgana VM’ye tam yönetim erişimi sağlaması açısından benzersizdi.”
İlk olarak geçen yılın sonlarında ortaya çıkan yeni ortaya çıkan saldırganın, en az Mayıs 2022’den beri telekomünikasyon ve iş süreci dış kaynak kullanımı (BPO) şirketlerini ihlal etmek için SIM takas saldırılarından yararlandığı biliniyor.
Daha sonra Mandiant, UNC3944’ün güvenlik yazılımıyla ilişkili işlemleri sonlandırmak ve BYOVD saldırısının bir parçası olarak dosyaları silmek için tasarlanmış POORTRY adlı kötü amaçlı imzalı bir sürücüyü yüklemek için STONESTOP adlı bir yükleyiciyi kullandığını da buldu.
Şu anda tehdit aktörünün SIM takaslarını nasıl yürüttüğü bilinmiyor, ancak ilk erişim yönteminin kimlik bilgilerini almak için ayrıcalıklı kullanıcıları hedefleyen SMS kimlik avı mesajlarının kullanımını ve ardından iki faktörlü kimlik doğrulamayı (2FA) almak için bir SIM takasını hazırlamayı içerdiğinden şüpheleniliyor. ) kontrolleri altındaki bir SIM karta belirteç.
Yükseltilmiş erişimle donanan tehdit aktörü, Azure Ağ İzleyici, Azure Windows Konuk Aracısı, VMSnapshot ve Azure İlkesi konuk yapılandırması gibi Azure VM uzantılarından yararlanarak hedef ağı araştırmak için harekete geçer.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Mandiant, UNC3944’ün yasal uzaktan yönetim araçlarını dağıtmak için PowerShell’i kullandığını gözlemlediğini belirterek, “Saldırgan keşif işlemini tamamladıktan sonra, bir Azure VM’nin içinde bir yönetim komut istemi elde etmek için seri konsol işlevselliğini kullanıyor” dedi.
Bu gelişme, saldırganların bir saldırıyı sürdürmek ve ilerletmek için karada yaşama (LotL) tekniklerinden yararlanırken aynı zamanda algılamayı atlattığının bir başka kanıtıdır.
Mandiant, “Saldırganlar tarafından seri konsolun yeni kullanımı, bu saldırıların artık işletim sistemi katmanıyla sınırlı olmadığını hatırlatıyor” dedi.
“Ne yazık ki, bulut kaynakları genellikle yeterince yanlış anlaşılmıyor ve bu da bu varlıkları saldırganlara karşı savunmasız bırakabilecek yanlış yapılandırmalara yol açıyor. İlk erişim, yanal hareket ve kalıcılık yöntemleri bir saldırgandan diğerine farklılık gösterse de, bir şey açıktır: Saldırganların gözleri üzerindedir. Bulut.”