Agente de ameaça ignora métodos de defesa e deteção usados no Azure

Um agente de ameaças conseguiu aceder ao Console Serial do Microsoft Azure, ultrapassando muitos dos métodos de defesa e deteção utilizados no Azure.

O agente – designado UNC3944 – conseguiu obter acesso administrativo total tendo por base texto para máquinas virtuais do Windows, aproveitando ataques de SIM swapping.

De acordo com informações reveladas pelos investigadores da Mandiant à SC Media, trata-se de um grupo, identificado pela primeira vez em 2022 e “composto por indivíduos do mundo inteiro”, com o intuito de realizar intrusões com vários objetivos, entre eles ganhar dinheiro e alcançar a fama.

Com os ataques a tornarem-se cada vez mais sofisticados – e com os cibercriminosos a conseguirem arranjar soluções para contornarem as verificações e sistemas de segurança – “um único SIM swapping de alguém com privilégios de administrador oferece infinitas oportunidades [ao agente de ameaça] de persistência por meio da criação de novas contas e capacidade de se mover lateralmente dentro da infraestrutura”, explica Bud Broomhead, CEO da Viakoo. Nestes casos, as ameaças podem culminar no controlo do ambiente Azure de determinada organização, com o agente de ameaça a ter a possibilidade de alterar dados e até controlar ativos de IoT/OT, normalmente geridos na cloud. 

Roy Akerman, cofundador e CEO da Rezonate, defende que, apesar de este não ser um método novo, este agente de ameaça acabou por expandir mais o seu alcance através do comprometimento de infraestrutura cloud e do repositório de utilizadores do Azure AD.