Maniant tarafından 'UNC3944' olarak izlenen finansal olarak motive olmuş bir sibergang, Microsoft Azure yönetici hesaplarını ele geçirmek ve sanal makinelere erişmek için kimlik avı ve sim değiştirme saldırıları kullanıyor.
Saldırganlar oradan Azure Seri Konsolu'nu, gizli gözetim için kalıcılık ve kötüye kullanma için uzaktan yönetim yazılımı yüklemek için kötüye kullanıyor.
Mantiant, UNC3944'ün en azından Mayıs 2022'den beri aktif olduğunu ve kampanyalarının Microsoft'un bulut bilişim hizmetini kullanarak kurban kuruluşlarından veri çalmayı amaçladığını bildirdi.
UNC3944 daha önce güvenlik yazılımını sonlandırmak için Stonestop (yükleyici) ve fakir (çekirdek modu sürücüsü) araç seti oluşturmaya bağlanmıştı.
Tehdit oyuncusu, çekirdek sürücülerini imzalamak için çalınan Microsoft donanım geliştiricisi hesaplarını kullandı.
Azure yöneticisinin hesabına ilk erişim, UNC3944'ün ortak bir taktiği SMS Phing'de edinilen çalıntı kimlik bilgilerini kullanılarak gerçekleşir.
Daha sonra, saldırganlar, SMS aracılığıyla hedefin telefon numarasına çok faktörlü bir sıfırlama kodu göndermeleri için yardım masası aracılarıyla iletişime geçerken yöneticiyi taklit eder.
Bununla birlikte, saldırgan zaten yöneticinin numarasını SIM-takmış ve cihazlarına taşımıştı, böylece kurban ihlali fark etmeden 2FA jetonunu aldılar.
Mantiant, bilgisayar korsanlarının operasyonlarının SIM değiştirme aşamasını nasıl gerçekleştirdiğini henüz belirlemedi. Bununla birlikte, önceki vakalar hedefin telefon numarasını bilmenin ve vicdansız telekom çalışanlarıyla komplo kurmanın yasadışı sayı limanlarını kolaylaştırmak için yeterli olduğunu göstermiştir.
Saldırganlar, hedeflenen kuruluşun Azure ortamında dayanaklarını oluşturduktan sonra, bilgi toplamak, mevcut Azure hesaplarını gerektiği gibi değiştirmek veya yenilerini oluşturmak için yönetici ayrıcalıklarını kullanırlar.
Bir sonraki saldırı aşamasında UNC3944, gözetim yapmak ve bilgi toplamak, kötü amaçlı işlemlerini görünüşte zararsız günlük görevler olarak maskelemek ve düzenli aktivite ile harmanlamak için Azure uzantılarını kullanır.
Azure uzantıları, yetenekleri genişletmeye, görevleri otomatikleştirmek vb. Otomatikleştirmeye yardımcı olmak için Azure Sanal Makinesi'ne (VM) entegre edilebilen "eklenti" özellikleri ve hizmetleridir.
Bu uzantılar VM içinde yürütüldüğü ve tipik olarak meşru amaçlar için kullanıldığından, hem gizli hem de daha az şüphelidir.
Bu durumda, tehdit oyuncusu, ihlal edilen uç noktadan günlük dosyalarını toplamak için kullanılan "CollectGuestlogs" gibi yerleşik Azure teşhis uzantılarını istismar etti. Buna ek olarak, Mandiant, aşağıdaki ek uzantıları kötüye kullanmaya çalışan tehdit oyuncusunun kanıtlarını buldu:
Ardından, UNC3944, VM'lere yönetim konsolu erişimi kazanmak ve seri bağlantı noktası üzerinden bir komut isteminde komutları çalıştırmak için Azure Seri Konsolu kullanır.
Mantiant'ın raporu, "Bu saldırı yöntemi, Azure içinde kullanılan geleneksel algılama yöntemlerinin çoğundan kaçınması ve saldırgana VM'ye tam idari erişim sağladığı için benzersizdi."
Mantiant, "Whoami" nin, davetsiz misafirlerin şu anda giriş yapmış kullanıcıyı tanımlamak ve sömürüyü daha da ilerletmek için yeterli bilgi toplamak için yürüttüğü ilk komut olduğunu fark etti.
Azure Seri Konsolu için günlüklerin nasıl analiz edileceği hakkında daha fazla bilgi, Raporlar Ek'te bulunabilir.
Daha sonra, tehdit aktörleri VM'deki kalıcılığını artırmak ve raporda adlandırılmayan ticari olarak temin edilebilen birden fazla uzaktan yönetici aracı kurmak için PowerShell'i kullanır.
Mantiant'ın raporu, "VM'deki varlığı korumak için, saldırgan genellikle PowerShell aracılığıyla ticari olarak temin edilebilen birden fazla uzaktan uygulama aracı dağıtıyor."
"Bu araçları kullanmanın avantajı, birçok uç nokta algılama platformunda uyarıları tetiklemeden yasal olarak imzalanmış uygulamalar ve saldırgan uzaktan erişim sağlamasıdır."
UNC3944 için bir sonraki adım, C2 sunucularına ters bir SSH tüneli oluşturmak, güvenli bir kanal ve ağ kısıtlamaları ve güvenlik kontrolleri ile gizli ve kalıcı erişimi korumaktır.
Saldırgan, Ters Tüneli bağlantı noktası yönlendirme ile yapılandırarak Azure VM'ye uzak masaüstü aracılığıyla doğrudan bağlantıyı kolaylaştırır. Örneğin, uzak makine bağlantı noktasına 12345'e gelen herhangi bir bağlantı, yerel ana bilgisayar bağlantı noktası 3389'a (uzak masaüstü protokol hizmet bağlantı noktası) iletilir.
Son olarak, saldırganlar, tehlikeye atılan Azure VM'de ters kabuk üzerinden giriş yapmak için uzlaşmış bir kullanıcı hesabının kimlik bilgilerini kullanırlar ve ancak daha sonra ihlal edilen ortamda kontrollerini genişletmeye devam ederek veri çalmaya devam eder.
Mantiant tarafından sunulan saldırı, UNC3944'ün Azure ortamı hakkında derin anlayışını ve algılamadan kaçınmak için yerleşik araçlardan nasıl yararlanabileceklerini gösteriyor.
Bu teknik bilgi birikimi, saldırganların SIM değiştirme gerçekleştirmesine yardımcı olan üst düzey sosyal mühendislik becerileri ile birleştirildiğinde, risk büyütülür.
Aynı zamanda, SMS tabanlı çok faktörlü kimlik doğrulama gibi yetersiz güvenlik önlemleri uygulayan kuruluşlardan bulut teknolojilerinin anlaşılamaması, bu sofistike tehdit aktörleri için fırsatlar yaratır.
Microsoft, düzinelerce Azure Sitesi Kurtarma ayrıcalığını düzeltiyor.
Microsoft, Internet Explorer'ın sonunda daha fazla bilgi paylaşıyor
Kötü niyetli Microsoft VSCODE uzantıları şifreleri çalın, uzaktan kabukları açın
Beş yıllık saldırılardan sonra ortaya çıkan gizli merdoor kötü amaçlı yazılım
Yakın zamanda sabit Outlook Zero-Click Hata için Microsoft Yams Bypass
Kaynak: Bleeping Computer