Les chercheurs en cybersécurité de Mandiant ont découvert un collectif de piratage ayant une connaissance approfondie de l’environnement Azure, utilisant des techniques de phishing et d’échange de cartes SIM pour infiltrer des machines virtuelles et exfiltrer des données sensibles.
Dans son rapport (s’ouvre dans un nouvel onglet)Mandiant dit qu’il suit le groupe sous le nom « UNC3944 », affirmant qu’il est actif depuis au moins mai 2022.
Premièrement, le groupe lancerait des attaques de phishing par SMS afin d’obtenir les mots de passe des comptes d’administrateur Microsoft Azure. Après cela, ils lanceraient une attaque par échange de carte SIM, acquérant la possibilité de recevoir des codes d’authentification multifacteur (MFA) par SMS. Mandiant ne sait pas exactement comment le groupe échange les cartes SIM, mais affirme que « connaître le numéro de téléphone de la cible et conspirer avec des employés des télécommunications peu scrupuleux suffit à faciliter les ports de numéros illicites ».
Usurper l’identité des administrateurs
Ensuite, le groupe usurperait l’identité de l’administrateur et contacterait les agents du service d’assistance afin de recevoir le code MFA et de l’utiliser pour accéder à l’environnement Azure de la cible. Une fois à l’intérieur, ils recueilleraient des informations, modifieraient les comptes Azure existants ou en créeraient de nouveaux, en fonction de la personne qu’ils compromettaient et de l’objectif à ce moment-là.
L’étape suivante consistait à utiliser les modules complémentaires Azure Extensions pour se cacher lorsqu’ils collectent autant de données que possible, et la console série Azure pour obtenir l’accès de la console d’administration aux machines virtuelles et exécuter des commandes sur le port série.
« Cette méthode d’attaque était unique en ce sens qu’elle évitait de nombreuses méthodes de détection traditionnelles utilisées dans Azure et fournissait à l’attaquant un accès administratif complet à la machine virtuelle », a déclaré Mandiant dans son rapport.
Après cela, le groupe effectue un certain nombre de mouvements supplémentaires pour rester sur le réseau et rester furtif, car il identifie et exfiltre autant de données sensibles que possible.
L’UNC3944 a démontré une « compréhension approfondie » de l’environnement Azure, a déclaré Mandiant, notant que ce niveau de savoir-faire technique, combiné à des compétences d’ingénierie sociale de haut niveau, rend cela malveillant. (s’ouvre dans un nouvel onglet) groupe assez dangereux.
- Ce sont les meilleurs pare-feu (s’ouvre dans un nouvel onglet) pour protéger votre entreprise