Es wurde beobachtet, dass ein Bedrohungsakteur, den Mandiant UNC3944 nennt, privilegierte Konten missbraucht, um auf die serielle Microsoft Azure-Konsole zuzugreifen. Auf diese Weise umging UNC3944 viele der in Azure verwendeten Abwehr- und Erkennungsmethoden und erhielt so vollen Verwaltungszugriff auf die textbasierte Konsole für virtuelle Windows-Maschinen (VMs).
Mandiant-Forscher sagten in einem Blogeintrag vom 16. Mai, dass UNC3944 dies erreicht habe, indem es SIM-Swapping-Angriffe durch mehrere Einbrüche ausgenutzt habe, von denen einige die Azure Serial Console und andere Azure-Erweiterungen umfassten.
In einer E-Mail-Antwort an SC Media sagten die Mandiant-Forscher, dass UNC3944 „lose aus Einzelpersonen aus der ganzen Welt besteht – nicht unbedingt aus einem einzigen Ort.“ Viele Mitglieder sind englische Muttersprachler und führen Eingriffe aus verschiedenen Beweggründen durch, unter anderem aus finanziellen Gründen und zu Ruhm und Ehre.“
Die Mandiant-Forscher sagten, dass sie diese verschiedenen von UNC3944 verwendeten Techniken zwar einige Male gesehen und die Gruppe erstmals im Mai 2022 identifiziert hätten, die Techniken jedoch in der Sicherheitsgemeinschaft nicht allgemein bekannt seien. Die Forscher wiesen in dem Blog darauf hin, dass Cloud-Ressourcen oft falsch verstanden werden, was zu Fehlkonfigurationen führt, die Assets anfällig für Angreifer machen können.
„Während die Methoden des Erstzugriffs, der lateralen Bewegung und der Persistenz von Angreifer zu Angreifer unterschiedlich sind, ist eines klar: Angreifer haben die Cloud im Blick“, schreiben die Forscher.
Der Fall zeigt, wie Angreifer bei der Umgehung herkömmlicher Sicherheitsprüfungen und -kontrollen immer raffinierter werden und wie sich diese Angriffe weiterentwickeln, da sich der eigentliche Perimeter vom Endpunkt und Netzwerk zu einem mobilen und cloudbasierten Bereich entwickelt hat, erklärte Kern Smith, Vizepräsident von Amerika, Vertriebstechnik bei Zimperium.
„Diese Angriffe zielen zunehmend auf Benutzer ab, bei denen Unternehmen keinen Einblick in die Verwendung traditioneller Sicherheitstools wie Smishing haben, um an die Informationen zu gelangen, die für diese Art von Angriffen erforderlich sind, in diesem Fall an Anmeldeinformationen und die Nachahmung vertrauenswürdiger Maschinen“, sagte Smith. „Es ist wichtig, dass sich Unternehmen an diese Entwicklung anpassen und in Sicherheitstools investieren, die den Erfolg dieser Art von gezielten Smishing-Kampagnen verhindern können, und zwar auf eine Art und Weise, die ihre Mitarbeiter unterstützt, ohne dabei die Produktivität zu beeinträchtigen oder die Privatsphäre der Benutzer zu beeinträchtigen.“ ”
Bud Broomhead, CEO von Viakoo, erklärte, dass die Bedrohung durch den SIM-Austausch hauptsächlich persönlicher Natur sei: Ein Bedrohungsakteur erbeutet eine SIM-Karte und vereitelt MFA, um das Bankkonto des Benutzers zu belasten. Broomhead sagte in diesem Fall, dass die Gruppe der Bedrohungsakteure (UNC3944) ebenfalls finanziell motiviert sei, aber auf Unternehmensebene agiere (nicht auf individueller Ebene), was die Möglichkeiten umfangreicher mache.
„Ein einziger SIM-Austausch durch jemanden mit Administratorrechten bietet endlose Möglichkeiten zur Persistenz durch die Erstellung neuer Konten und die Möglichkeit, sich seitlich innerhalb der Infrastruktur zu bewegen“, sagte Broomhead. „Die Bedrohungen können in diesem Fall weit über den direkten finanziellen Gewinn oder die Datenexfiltration hinausgehen. Indem der Bedrohungsakteur die Kontrolle über die Azure-Umgebung einer Organisation erlangt, kann er Deepfakes einschleusen, Daten ändern und sogar IoT/OT-Assets kontrollieren, die oft in der Cloud verwaltet werden.“
Broomhead sagte, der Einsatz von SIM-basierter MFA sei heutzutage zu einer schlechten Praxis geworden, da jetzt andere Formen der Authentifizierung verfügbar seien, darunter FIDO2, Azure AD-Zertifikate und Windows Hello for Business. Wenn sich eine Organisation zur Authentifizierung auf eine SIM-basierte MFA verlässt, sollte sie zusätzliche Sicherheitsmaßnahmen ergreifen, sagte Broomhead, beispielsweise die Anforderung, dass das mobile Konto von der Organisation und nicht von der Einzelperson verwaltet und kontrolliert wird.
„Die Entführung von SIM-Karten ist nicht einfach und dieser Bedrohungsakteur hat möglicherweise eine Beziehung zu Mobilfunkbetreibern, die diesen Exploit ermöglicht“, sagte Broomhead. „Werden Mobilfunkbetreiber für Verstöße haftbar gemacht, die zum SIM-Tausch führen? Dieser Fall könnte dies wahrscheinlicher machen.“
Roy Akerman, Mitbegründer und CEO von Rezonate, sagte, dass die Technik des SIM-Austauschs zwar nicht neu sei, der Bericht von Mandiant jedoch hervorhebe, dass sich UNC3944 weiterentwickelt habe, um seine Reichweite über kompromittierte Konten auf die Cloud-Infrastruktur und das Azure AD-Benutzer-Repository weiter auszudehnen.
„Das Leben außerhalb des Landes kann leicht zu einer Eskalation von Privilegien und einem seitlichen Wechsel zwischen den Cloud-Konten des Unternehmens und höher privilegierten Rollen führen, was alles legitime Handlungen sind“, sagte Akerman. „Es handelt sich nicht um bösartigen Code oder Schadsoftware. Dies ähnelt sehr der Entwicklung, die wir vor einigen Jahren im Endpunktbereich mit der Umstellung auf dateilose „Malware“ und der Ausnutzung des Systems gegen sich selbst beobachtet haben.“
