Um grupo de hackers com motivação financeira, rastreado pela Mandiant como UNC3944, está usando ataques de phishing e troca de SIM — ou SIM Swap — para sequestrar contas de administrador do Microsoft Azure e obter acesso a máquinas virtuais (VMs). A partir daí, os invasores exploram o console serial do Azure para instalar software de gerenciamento remoto para persistência e usar as extensões do Azure para vigilância furtiva.
A Mandiant relata que o UNC3944 está ativo desde pelo menos maio do ano passado, e sua campanha visa roubar dados de organizações vítimas usando o serviço de computação em nuvem da Microsoft. Anteriormente foi apontando como responsável pela criação do kit de ferramentas STONESTOP (carregador) e POORTRY (driver de modo kernel) para encerrar o software de segurança.
Os operadores de ameaças utilizaram contas roubadas de desenvolvedores de hardware da Microsoft para assinar seus drivers de kernel.
O acesso inicial à conta do administrador do Azure ocorre usando credenciais roubadas adquiridas em SMS phishing, uma tática comum do UNC3944. Em seguida, o invasor representa o administrador ao entrar em contato com o agente de suporte técnico para induzi-lo a enviar um código de redefinição multifator via SMS para o número de telefone do alvo. No entanto, o invasor já havia trocado o número do administrador pelo SIM e portado para o dispositivo, de modo que recebe o token 2FA sem que a vítima perceba a violação.
Veja isso
Microsoft corrige três bugs no gerenciamento de API do Azure
Microsoft corrige bug no Azure AD que afeta as buscas no Bing
A Mandiant não revelou como os hackers realizam a troca do SIM na operação. No entanto, casos anteriores mostraram que saber o número de telefone do alvo e conspirar com funcionários de operadoras de telecomunicações sem escrúpulos é suficiente para facilitar a portabilidade de números ilícitos.
Depois que o invasor estabelece sua posição no ambiente do Azure da organização, ele usa seus privilégios de administrador para coletar informações, modificar contas existentes conforme necessário ou criar novas. Na próxima fase de ataque, o UNC3944 usa as extensões do Azure para realizar a vigilância e coletar informações, mascarar suas operações maliciosas como tarefas diárias aparentemente inofensivas e combinar com atividades regulares.
As extensões do Azure são recursos e serviços “complementares” que podem ser integrados a uma máquina virtual (VM) do Azure para ajudar a expandir recursos, automatizar tarefas, etc. Como essas extensões são executadas dentro da VM e normalmente usadas para fins legítimos, elas são furtivas e menos suspeitas.
