Cybergang bermotivasi finansial yang dilacak oleh Mandiant sebagai ‘UNC3944’ menggunakan serangan phishing dan pertukaran SIM untuk membajak akun admin Microsoft Azure dan mendapatkan akses ke mesin virtual.
Dari sana, penyerang menyalahgunakan Azure Serial Console untuk menginstal perangkat lunak manajemen jarak jauh untuk kegigihan dan penyalahgunaan Azure Extensions untuk pengawasan diam-diam.
Mandiant melaporkan bahwa UNC3944 telah aktif setidaknya sejak Mei 2022, dan kampanye mereka bertujuan mencuri data dari organisasi korban menggunakan layanan komputasi awan Microsoft.
UNC3944 adalah sebelumnya dikaitkan untuk membuat toolkit STONSTOP (loader) dan POORTRY (driver mode kernel) untuk menghentikan perangkat lunak keamanan.
Pelaku ancaman memanfaatkan akun pengembang perangkat keras Microsoft yang dicuri untuk menandatangani driver kernel mereka.
SIM bertukar admin Azure
Akses awal ke akun administrator Azure terjadi menggunakan kredensial curian yang diperoleh dalam phishing SMS, taktik umum UNC3944.
Selanjutnya, penyerang menyamar sebagai administrator saat menghubungi agen help desk untuk mengelabui mereka agar mengirimkan kode reset multi-faktor melalui SMS ke nomor telepon target.
Namun, penyerang telah menukar nomor administrator dengan SIM dan memindahkannya ke perangkat mereka, sehingga mereka menerima token 2FA tanpa disadari oleh korban.
Mandiant belum menentukan bagaimana para peretas melakukan fase pertukaran SIM dalam operasi mereka. Namun, kasus sebelumnya menunjukkan bahwa mengetahui nomor telepon target dan bersekongkol dengan oknum pegawai telekomunikasi sudah cukup untuk memfasilitasi porting nomor terlarang.
Setelah penyerang membangun pijakan mereka di lingkungan Azure organisasi yang ditargetkan, mereka menggunakan hak administrator mereka untuk mengumpulkan informasi, mengubah akun Azure yang ada sesuai kebutuhan, atau membuat yang baru.
Taktik hidup dari tanah
Pada fase serangan berikutnya, UNC3944 menggunakan Ekstensi Azure untuk melakukan pengawasan dan mengumpulkan informasi, menyamarkan operasi jahat mereka sebagai tugas harian yang tampaknya tidak berbahaya, dan berbaur dengan aktivitas reguler.
Ekstensi Azure adalah fitur dan layanan “add-on” yang dapat diintegrasikan ke dalam Azure Virtual Machine (VM) untuk membantu memperluas kemampuan, mengotomatiskan tugas, dll.
Karena ekstensi ini dijalankan di dalam VM dan biasanya digunakan untuk tujuan yang sah, keduanya tersembunyi dan tidak terlalu mencurigakan.
Dalam kasus ini, aktor ancaman menyalahgunakan ekstensi diagnostik Azure bawaan seperti “CollectGuestLogs”, yang dimanfaatkan untuk mengumpulkan file log dari titik akhir yang dilanggar. Selain itu, Mandiant telah menemukan bukti pelaku ancaman mencoba menyalahgunakan ekstensi tambahan berikut:
Melanggar VM untuk mencuri data
Selanjutnya, UNC3944 menggunakan Konsol Serial Azure untuk mendapatkan akses konsol administratif ke VM dan menjalankan perintah pada prompt perintah melalui port serial.
“Metode serangan ini unik karena menghindari banyak metode deteksi tradisional yang digunakan dalam Azure dan memberi penyerang akses administratif penuh ke VM,” jelas Laporan Mandiant.
Mandiant memperhatikan bahwa “whoami” adalah perintah pertama yang dijalankan penyusup untuk mengidentifikasi pengguna yang sedang masuk dan mengumpulkan informasi yang cukup untuk melanjutkan eksploitasi.
Informasi lebih lanjut tentang cara menganalisis log untuk Azure Serial Console dapat ditemukan di laporan lampiran.
Selanjutnya, pelaku ancaman menggunakan PowerShell untuk meningkatkan kegigihan mereka di VM dan memasang beberapa alat administrator jarak jauh yang tersedia secara komersial yang tidak disebutkan dalam laporan.
“Untuk mempertahankan kehadiran di VM, penyerang sering menggunakan beberapa alat administrasi jarak jauh yang tersedia secara komersial melalui PowerShell,” menurut laporan Mandiant.
“Keuntungan menggunakan alat ini adalah bahwa mereka adalah aplikasi yang ditandatangani secara sah dan memberikan akses jarak jauh kepada penyerang tanpa memicu peringatan di banyak platform deteksi titik akhir.”
Langkah selanjutnya untuk UNC3944 adalah membuat terowongan SSH terbalik ke server C2 mereka, untuk mempertahankan akses diam-diam dan terus-menerus melalui saluran aman dan melewati batasan jaringan dan kontrol keamanan.
Penyerang mengonfigurasi terowongan balik dengan penerusan port, memfasilitasi koneksi langsung ke Azure VM melalui Desktop Jarak Jauh. Misalnya, setiap koneksi masuk ke port mesin jarak jauh 12345 akan diteruskan ke port host lokal 3389 (Port Layanan Protokol Desktop Jarak Jauh).
Terakhir, penyerang menggunakan kredensial akun pengguna yang disusupi untuk masuk ke VM Azure yang disusupi melalui shell terbalik dan baru kemudian melanjutkan untuk memperluas kendali mereka dalam lingkungan yang dilanggar, mencuri data di sepanjang jalan.
Serangan yang disajikan oleh Mandiant menunjukkan pemahaman mendalam UNC3944 tentang lingkungan Azure dan bagaimana mereka dapat memanfaatkan alat bawaan untuk menghindari deteksi.
Ketika pengetahuan teknis ini digabungkan dengan keterampilan rekayasa sosial tingkat tinggi yang membantu penyerang melakukan pertukaran SIM, risikonya menjadi lebih besar.
Pada saat yang sama, kurangnya pemahaman tentang teknologi cloud dari organisasi yang menerapkan langkah-langkah keamanan yang tidak memadai, seperti autentikasi multi-faktor berbasis SMS, menciptakan peluang bagi pelaku ancaman yang canggih ini.
