Los investigadores de seguridad cibernética de Mandiant han descubierto un colectivo de piratas informáticos con un amplio conocimiento del entorno de Azure, que utiliza técnicas de phishing y de intercambio de SIM para infiltrarse en máquinas virtuales y extraer datos confidenciales.
en su informe (se abre en una pestaña nueva)Mandiant dice que está rastreando al grupo como «UNC3944», alegando que ha estado activo desde al menos mayo de 2022.
Primero, el grupo ejecutaría ataques de phishing por SMS para obtener las contraseñas de las cuentas de administrador de Microsoft Azure. Después de eso, ejecutarían un ataque de intercambio de SIM, obteniendo la capacidad de recibir códigos de autenticación multifactor (MFA) a través de SMS. Mandiant no está seguro exactamente de cómo el grupo intercambia tarjetas SIM, pero dice que «conocer el número de teléfono del objetivo y conspirar con empleados de telecomunicaciones sin escrúpulos es suficiente para facilitar las transferencias de números ilegales».
hacerse pasar por administradores
Luego, el grupo se haría pasar por el administrador y se comunicaría con los agentes de la mesa de ayuda para recibir el código MFA y usarlo para acceder al entorno de Azure del objetivo. Una vez dentro, recopilarían información, modificarían las cuentas de Azure existentes o crearían otras nuevas, según a quién comprometieran y cuál fuera el objetivo en ese momento.
El siguiente paso fue usar complementos de Azure Extensions para ocultarse mientras recopilaban la mayor cantidad de datos posible, y Azure Serial Console para obtener acceso a la consola de administración de las máquinas virtuales y ejecutar comandos a través del puerto serie.
«Este método de ataque fue único en el sentido de que evitó muchos de los métodos de detección tradicionales empleados en Azure y proporcionó al atacante acceso administrativo completo a la máquina virtual», dijo Mandiant en su informe.
Después de eso, el grupo realiza una serie de movimientos adicionales para permanecer en la red y mantenerse sigiloso, ya que identifican y filtran la mayor cantidad de datos confidenciales que pueden.
UNC3944 demostró una «comprensión profunda» del entorno de Azure, dijo Mandiant, y señaló que este nivel de conocimientos técnicos, combinado con habilidades de ingeniería social de alto nivel, hace que este malicioso (se abre en una pestaña nueva) grupo bastante peligroso.
- Estos son los mejores cortafuegos (se abre en una pestaña nueva) para mantener tu negocio protegido