Se ha observado a un actor cibernético motivado financieramente abusando de la Consola en Serie de Microsoft Azure en máquinas virtuales (VM) para instalar herramientas de gestión remota de terceros dentro de entornos comprometidos. Mandiant, propiedad de Google, atribuyó la actividad a un grupo de amenazas al que rastrea con el nombre UNC3944, también conocido como Roasted 0ktapus y Scattered Spider.
"Este método de ataque fue único en el sentido de que evitaba muchos de los métodos de detección tradicionales empleados en Azure y proporcionaba al atacante acceso administrativo completo a la VM", dijo la firma de inteligencia de amenazas.
El adversario emergente, que se dio a conocer a finales del año pasado, se sabe que aprovecha ataques de intercambio de SIM para comprometer empresas de telecomunicaciones y de externalización de procesos empresariales (BPO, por sus siglas en inglés) desde al menos mayo de 2022.
Posteriormente, Mandiant también descubrió que UNC3944 utilizaba un cargador llamado STONESTOP para instalar un controlador firmado malicioso llamado POORTRY, que está diseñado para finalizar procesos asociados con software de seguridad y eliminar archivos como parte de un ataque BYOVD.
Actualmente no se conoce cómo lleva a cabo el actor de amenazas los intercambios de SIM, aunque se sospecha que la metodología de acceso inicial implica el uso de mensajes de phishing por SMS dirigidos a usuarios privilegiados para obtener sus credenciales y luego realizar un intercambio de SIM para recibir el token de autenticación de dos factores (2FA) en una tarjeta SIM bajo su control.
Armado con el acceso elevado, el actor de amenazas pasa a analizar la red objetivo aprovechando las extensiones de VM de Azure, como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot y la configuración de invitados de Azure Policy.
"Una vez que el atacante completa su reconocimiento, utiliza la funcionalidad de la consola en serie para obtener un símbolo del sistema administrativo dentro de una VM de Azure", dijo Mandiant, y agregó que observó a UNC3944 utilizando PowerShell para implementar herramientas legítimas de administración remota. Este desarrollo es otra evidencia de que los atacantes aprovechan las técnicas de living-off-the-land (LotL) para mantener y avanzar en un ataque, al tiempo que evitan la detección.
"El uso novedoso de la consola en serie por parte de los atacantes es un recordatorio de que estos ataques ya no se limitan a la capa del sistema operativo", dijo Mandiant. "Lamentablemente, los recursos en la nube a menudo se comprenden mal, lo que lleva a configuraciones incorrectas que pueden dejar estos activos vulnerables a los atacantes. Si bien los métodos de acceso inicial, movimiento lateral y persistencia varían de un atacante a otro, una cosa está clara: los atacantes tienen su mirada puesta en la nube".
¿Quieres saber más sobre Máquinas Virtuales?
Comments