来自Mandiant的网络安全研究人员发现了一个黑客组织,该组织拥有丰富的Azure环境知识,利用钓鱼网站和SIM卡交换技术,以渗透虚拟机并将敏感数据外流。
在其报告Mandiant称,它正在追踪这个名为 "UNC3944 "的组织,并声称该组织至少从2022年5月起就开始活动。
首先,该组织会实施短信钓鱼攻击,以获取Microsoft Azure管理员账户的密码。 之后,他们将实施SIM卡交换攻击,从而获得接收多因素身份验证(Multi-factor authentication)的能力。MFA)代码。 Mandiant并不清楚该组织具体是如何进行SIM卡交换的,但他表示,"知道目标电话号码并与不法电信员工合谋就足以为非法号码端口提供便利"。
ssr2.0下载
然后,该组织将假冒管理员,联系服务台代理,以获得MFA代码,并用它访问目标的Azure环境。 一旦进入,他们就会收集信息、修改现有Azure账户或创建新账户,这取决于他们入侵的对象和当时的目标。
下一步是使用Azure扩展加载项,在收集尽可能多的数据时进行隐藏,并使用Azure串行控制台获得对虚拟机的管理控制台访问权限,通过串行端口运行命令。
"Mandiant在报告中说:"这种攻击方法的独特之处在于,它避开了Azure中采用的许多传统检测方法,并为攻击者提供了对虚拟机的完全管理访问权限。
在此之后,该组织会采取一系列额外行动,以保持在网络上的隐蔽性,并尽可能多地识别和渗出敏感数据。
Mandiant表示,UNC3944展示了对Azure环境的 "深刻理解",并指出这种技术诀窍水平,再加上高级社交工程技能,使其成为了 "Azure "的一个重要组成部分。恶毒的该集团相当危险。
- 这些是最佳防火墙保护您的业务
