Threats
O agente, designado de UNC3944, é composto por um grupo de indivíduos que tem como objetivo realizar intrusões para ganhar dinheiro e alcançar a fama. Aproveitaram ataques de SIM swapping para realizar algumas intrusões, incluindo no Console Serial do Azure e outras extensões do Azure
20/05/2023
Um agente de ameaças conseguiu aceder ao Console Serial do Microsoft Azure, ultrapassando muitos dos métodos de defesa e deteção utilizados no Azure. O agente – designado UNC3944 – conseguiu obter acesso administrativo total tendo por base texto para máquinas virtuais do Windows, aproveitando ataques de SIM swapping. De acordo com informações reveladas pelos investigadores da Mandiant à SC Media, trata-se de um grupo, identificado pela primeira vez em 2022 e “composto por indivíduos do mundo inteiro”, com o intuito de realizar intrusões com vários objetivos, entre eles ganhar dinheiro e alcançar a fama. Com os ataques a tornarem-se cada vez mais sofisticados – e com os cibercriminosos a conseguirem arranjar soluções para contornarem as verificações e sistemas de segurança – “um único SIM swapping de alguém com privilégios de administrador oferece infinitas oportunidades [ao agente de ameaça] de persistência por meio da criação de novas contas e capacidade de se mover lateralmente dentro da infraestrutura”, explica Bud Broomhead, CEO da Viakoo. Nestes casos, as ameaças podem culminar no controlo do ambiente Azure de determinada organização, com o agente de ameaça a ter a possibilidade de alterar dados e até controlar ativos de IoT/OT, normalmente geridos na cloud. Roy Akerman, cofundador e CEO da Rezonate, defende que, apesar de este não ser um método novo, este agente de ameaça acabou por expandir mais o seu alcance através do comprometimento de infraestrutura cloud e do repositório de utilizadores do Azure AD. |