Uhkatoimija, joka tunnetaan kohdistamisesta Microsoftin pilviympäristöihin, käyttää nyt sarjakonsoliominaisuutta Azure-virtuaalikoneissa (VM) kaapatakseen virtuaalikoneen asentaakseen kolmannen osapuolen etähallintaohjelmiston asiakkaiden pilviympäristöihin.
Mandiant Intelligencen tutkijoiden UNC3844-tunnuksella jäljittämä uhkaryhmä hyödyntää tätä hyökkäysmenetelmää ohittaakseen Azuressa käytetyt perinteiset tietoturvahavainnot. Hyökkäyksen tarkoituksena on viime kädessä varastaa dataa, jota se voi käyttää taloudellisen hyödyn saamiseksi. , Mandiant-tutkijat paljastivat blogikirjoituksessa tällä viikolla.
Käyttämällä yhtä sen tyypillisistä alkupääsymenetelmistä, joihin kuuluu järjestelmänvalvojan tunnistetietojen vaarantaminen tai muiden etuoikeutettujen tilien käyttö haitallisten kampanjoiden kautta. - UNC3844 määrittää pysyvyyden käyttämällä SIM-kortin vaihto ja saa täyden pääsyn Azure-vuokralaiseen, tutkijat sanoivat.
Sieltä hyökkääjällä on useita vaihtoehtoja haitalliseen toimintaan, mukaan lukien tietojen vienti vuokralaisen käyttäjistä, tietojen kerääminen Azure-ympäristön määrityksistä ja erilaisista virtuaalikoneista sekä tilien luominen tai muokkaaminen.
"Mandiant on havainnut tämän hyökkääjän käyttävän pääsyään erittäin etuoikeutettuun Azure-tiliin hyödyntääkseen Azure Extensions -laajennuksia tiedustelutarkoituksiin", tutkijat kirjoittivat. "Nämä laajennukset suoritetaan virtuaalikoneen sisällä ja niillä on useita laillisia käyttötarkoituksia."
VM:n kaappaus
Hyödyntämällä erityisesti Microsoft Azuren sarjakonsolia, UNC3844 voi muodostaa yhteyden käynnissä olevaan käyttöjärjestelmään sarjaportin kautta, mikä antaa hyökkääjälle mahdollisuuden käyttää käyttöjärjestelmän lisäksi pilviympäristöä.
"Kuten muillakin virtualisointialustoilla, sarjayhteys mahdollistaa järjestelmien etähallinnan Azure-konsolin kautta", he kirjoittivat. "Hyökkääjien uusi sarjakonsolin käyttö on muistutus siitä, että nämä hyökkäykset eivät enää rajoitu käyttöjärjestelmäkerrokseen."
UNC3844 on viime toukokuusta lähtien toiminut taloudellisesti motivoitunut uhkaryhmä, joka tyypillisesti kohdistuu Microsoft-ympäristöihin saadakseen lopullista taloudellista hyötyä. Ryhmän nähtiin aiemmin joulukuussa hyödyntävän Microsoftin allekirjoittamat ajurit hyväksikäytön jälkeistä toimintaa varten.
Kuitenkin, kun UNC3844 ottaa haltuunsa Azure-ympäristön ja käyttää LotL-taktiikoita liikkuakseen asiakkaan pilvessä, seuraukset ovat muutakin kuin pelkkä tietojen suodattaminen tai taloudellinen hyöty, yksi tietoturva-asiantuntija huomauttaa.
"Saamalla organisaation Azure-ympäristön hallintaansa uhkatekijä voi tehdä syväväärennöksiä, muokata tietoja ja jopa hallita IoT/OT-resursseja, joita usein hallitaan pilvessä", Bud Broomhead, Viakoon toimitusjohtaja, automatisoitu IoT-kyberhygienia. , sanoi Dark Readingille lähetetyssä lausunnossa.
VM:stä ympäristöön
Mandiant kertoi viestissä, kuinka uhkatekijä kohdistaa VM:ään ja asentaa lopulta kaupallisesti saatavilla olevat etähallinta- ja hallintatyökalut Azure-pilviympäristöön ylläpitääkseen läsnäoloa.
"Näiden työkalujen etuna on, että ne ovat laillisesti allekirjoitettuja sovelluksia ja tarjoavat hyökkääjälle etäkäytön laukaisematta hälytyksiä monissa päätepisteiden tunnistusalustoissa", tutkijat kirjoittivat.
Ennen siirtymistään toiseen järjestelmään hyökkääjä perusti käänteisen SSH-tunnelin (Secure Shell Protocol) komento- ja ohjauspalvelimelleen (C2) ja otti käyttöön käänteisen tunnelin, joka oli määritetty siten, että portti, joka välittää kaikki saapuvat yhteydet etäkoneen porttiin 12345 välitetty localhost-porttiin 3389, he selittivät viestissä. Tämä mahdollisti UNC3844:n suoran yhteyden Azure VM:ään Remote Desktopin kautta, josta he voivat helpottaa järjestelmänvalvojan tilin salasanan nollausta, tutkijat sanoivat.
Hyökkäys osoittaa molempien hyökkääjien kiertotaktiikkojen ja kohdistamisen kehittymisen ja kehittymisen, joista jälkimmäinen ulottuu nyt verkon ja päätepisteen ulkopuolelle suoraan mobiililaitteisiin ja pilveen, toteaa Kern Smith, Amerikan myyntisuunnittelusta vastaava johtaja. mobiiliturvayritys Zimperium.
”Nämä hyökkäykset kohdistuvat yhä useammin käyttäjiin, joissa organisaatioilla ei ole näkyvyyttä perinteisillä tietoturvatyökaluilla - kuten räjähtää - saadakseen tarvittavat tiedot tämäntyyppisten hyökkäysten mahdollistamiseksi", hän sanoo.
Kuinka puolustautua tätä VM-hyökkäystä vastaan
Tämän tyyppisten uhkien estämiseksi organisaatioiden on ensin estettävä kohdennettuja tuhoisia kampanjoita "tavalla, joka mahdollistaa heidän työvoimansa, mutta ei estä tuottavuutta tai vaikuta käyttäjien yksityisyyteen", Smith sanoo.
Mandiant suosittelee etähallintakanavien käytön rajoittamista ja SMS-viestien poistamista käytöstä monivaiheisena todennusmenetelmänä aina kun mahdollista.
"Lisäksi Mandiant suosittelee tarkistamaan liian sallivien käyttäjien käyttäjätilien käyttöoikeudet ja toteuttamaan asianmukaiset Ehdollisen pääsyn todennuksen vahvuus politiikkaa", tutkijat kirjoittivat.
He ohjasivat myös järjestöjä käytettävissä olevat todennusmenetelmät Azure AD:ssa Microsoftin verkkosivustolla, jossa suositellaan, että sarjakonsolin vähiten oikeudet määritetään Microsoftin ohje.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
- Lähde: https://www.darkreading.com/cloud/microsoft-azure-vms-highjacked-in-cloud-cyberattack
