Учетные записи Microsoft Azure подвергаются фишинговым атакам с целью захвата виртуальных машин

Учетные записи Microsoft Azure подвергаются фишинговым атакам с целью захвата виртуальных машин

17 мая 2023 г.

Исследователи кибербезопасности из Mandiant обнаружили группу хакеров, обладающих обширными знаниями среды Azure, используя фишинг и методы подмены SIM-карт для проникновения на виртуальные машины и удалять конфиденциальные данные.

В своем отчете< /a>, Mandiant сообщает, что отслеживает группу как «UNC3944», утверждая, что она была активна как минимум с мая 2022 года. 

Во-первых, группа проводила фишинговые SMS-атаки, чтобы получить пароли для Microsoft. Учетные записи администратора Azure. После этого они запускали атаку с подменой SIM-карты, получая возможность получать многофакторную аутентификацию ( MFA) кодирует через SMS. Mandiant не знает точно, как группа подменяет SIM-карты, но говорит, что «знания номера телефона цели и сговора с недобросовестными работниками связи достаточно, чтобы облегчить незаконные переносы номеров».

Выдача себя за администраторов

Затем группа выдавала себя за администратора и обращалась к агентам службы поддержки, чтобы получить код MFA и использовать его для доступа к целевой среде Azure. Оказавшись внутри, они собирали информацию, изменяли существующие учетные записи Azure или создавали новые, в зависимости от того, кого они скомпрометировали и какова цель в данный момент.

Следующим шагом было использование надстроек Azure Extensions, чтобы скрыть, поскольку они собирают как можно больше данных, и Azure Serial Console, чтобы получить доступ консоли администратора к виртуальным машинам и выполнять команды через последовательный порт.

«Этот метод атаки уникален тем, что позволяет избежать многих традиционных методов обнаружения, используемых в Azure, и предоставляет злоумышленнику полный административный доступ к виртуальной машине», — говорится в отчете Mandiant.

Подробнее

> Почти у всех фирм есть неправильная конфигурация облака проблема

> Многие утечки данных вызваны неправильно настроенными облаками

> Вот наши список лучших программ для защиты конечных точек

После этого группа предпринимает ряд дополнительных действий, чтобы оставаться в сети и сохранять скрытность, поскольку они выявляют и извлекают как можно больше конфиденциальных данных.

UNC3944 продемонстрировал «глубокую понимание» среды Azure, сказал Мандиант, отметив, что этот уровень технических ноу-хау в сочетании с высокими навыками социальной инженерии делает это вредоносная группа весьма опасна.

  • Это лучшие брандмауэры для защиты вашего бизнеса
    • < /ул>
    Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE