Un cybergang à motivation financière suivi par Mandiant sous le nom « UNC3944 » utilise des attaques de phishing et d’échange de cartes SIM pour détourner des comptes d’administrateur Microsoft Azure et accéder à des machines virtuelles.
À partir de là, les attaquants abusent de la console série Azure pour installer un logiciel de gestion à distance pour la persistance et abusent des extensions Azure pour une surveillance furtive.
Mandiant rapporte que l’UNC3944 est actif depuis au moins mai 2022 et que sa campagne vise à voler des données aux organisations victimes en utilisant le service de cloud computing de Microsoft.
UNC3944 était auparavant attribué à la création de la boîte à outils STONESTOP (chargeur) et POORTRY (pilote en mode noyau) pour mettre fin au logiciel de sécurité.
Les acteurs de la menace ont utilisé des comptes de développeurs de matériel Microsoft volés pour signer leurs pilotes de noyau.
Échange de carte SIM entre les administrateurs Azure
L’accès initial au compte de l’administrateur Azure s’effectue à l’aide d’informations d’identification volées acquises par hameçonnage par SMS, une tactique courante de l’UNC3944.
Ensuite, les attaquants se font passer pour l’administrateur lorsqu’ils contactent les agents du service d’assistance pour les inciter à envoyer un code de réinitialisation multifacteur par SMS au numéro de téléphone de la cible.
Cependant, l’attaquant avait déjà échangé le numéro de carte SIM de l’administrateur et l’avait porté sur son appareil, de sorte qu’il a reçu le jeton 2FA sans que la victime ne se rende compte de la violation.
Mandiant n’a pas encore déterminé comment les pirates effectuent la phase d’échange de carte SIM de leur opération. Cependant, des cas antérieurs ont montré que connaître le numéro de téléphone de la cible et conspirer avec des employés des télécommunications peu scrupuleux suffisent à faciliter les ports de numéros illicites.
Une fois que les attaquants ont pris pied dans l’environnement Azure de l’organisation ciblée, ils utilisent leurs privilèges d’administrateur pour collecter des informations, modifier les comptes Azure existants selon les besoins ou en créer de nouveaux.
Vivre de la tactique de la terre
Dans la phase d’attaque suivante, l’UNC3944 utilise les extensions Azure pour effectuer une surveillance et collecter des informations, masquer leurs opérations malveillantes en tant que tâches quotidiennes apparemment anodines et se fondre dans une activité régulière.
Les extensions Azure sont des fonctionnalités et des services « complémentaires » qui peuvent être intégrés dans une machine virtuelle Azure (VM) pour aider à étendre les capacités, automatiser les tâches, etc.
Étant donné que ces extensions sont exécutées à l’intérieur de la machine virtuelle et sont généralement utilisées à des fins légitimes, elles sont à la fois furtives et moins suspectes.
Dans ce cas, l’auteur de la menace a abusé des extensions de diagnostic Azure intégrées telles que « CollectGuestLogs », qui a été exploitée pour collecter les fichiers journaux à partir du point de terminaison piraté. De plus, Mandiant a trouvé des preuves que l’auteur de la menace tentait d’abuser des extensions supplémentaires suivantes :
Violer les machines virtuelles pour voler des données
Ensuite, UNC3944 utilise la console série Azure pour obtenir l’accès de la console d’administration aux machines virtuelles et exécuter des commandes sur une invite de commande via le port série.
« Cette méthode d’attaque était unique en ce sens qu’elle évitait de nombreuses méthodes de détection traditionnelles utilisées dans Azure et fournissait à l’attaquant un accès administratif complet à la machine virtuelle », explique le rapport de Mandiant.
Mandiant a remarqué que « whoami » est la première commande que les intrus exécutent pour identifier l’utilisateur actuellement connecté et recueillir suffisamment d’informations pour poursuivre l’exploitation.
Vous trouverez plus d’informations sur l’analyse des journaux pour la console série Azure dans l’annexe des rapports.
Ensuite, les acteurs de la menace utilisent PowerShell pour améliorer leur persistance sur la machine virtuelle et installer plusieurs outils d’administration à distance disponibles dans le commerce non nommés dans le rapport.
« Pour maintenir sa présence sur la machine virtuelle, l’attaquant déploie souvent plusieurs outils d’administration à distance disponibles dans le commerce via PowerShell », lit le rapport de Mandiant.
« L’avantage d’utiliser ces outils est qu’il s’agit d’applications légitimement signées et qu’elles fournissent à l’attaquant un accès à distance sans déclencher d’alertes sur de nombreuses plates-formes de détection de terminaux. »
La prochaine étape pour UNC3944 consiste à créer un tunnel SSH inversé vers son serveur C2, afin de maintenir un accès furtif et persistant via un canal sécurisé et de contourner les restrictions réseau et les contrôles de sécurité.
L’attaquant configure le tunnel inverse avec la redirection de port, facilitant une connexion directe à la machine virtuelle Azure via Remote Desktop. Par exemple, toute connexion entrante vers le port 12345 de la machine distante serait transmise au port hôte local 3389 (port de service de protocole de bureau à distance).
Enfin, les attaquants utilisent les informations d’identification d’un compte d’utilisateur compromis pour se connecter à la machine virtuelle Azure compromise via le shell inversé et ne procèdent ensuite qu’à étendre leur contrôle au sein de l’environnement piraté, en volant des données en cours de route.
L’attaque présentée par Mandiant démontre la compréhension approfondie de l’environnement Azure par UNC3944 et la façon dont ils peuvent tirer parti des outils intégrés pour échapper à la détection.
Lorsque ce savoir-faire technique est combiné à des compétences d’ingénierie sociale de haut niveau qui aident les attaquants à effectuer des échanges de cartes SIM, le risque est amplifié.
Dans le même temps, un manque de compréhension des technologies cloud de la part des organisations qui déploient des mesures de sécurité insuffisantes, telles que l’authentification multifacteur basée sur SMS, crée des opportunités pour ces acteurs sophistiqués de la menace.