Threat Group UNC3944 Azure Serial Consoleを悪用してVMの総取り込みを行う。

Roasted0ktapusおよびScattered Spiderとも呼ばれるUNC3944と呼ばれる脅威グループが、仮想マシン（VM）上のMicrosoft Azure Serial Consoleを悪用して、侵害された環境内にサードパーティ製のリモート管理ツールをインストールすることが確認されています。脅威インテリジェンス企業であるMandiantによると、この金銭的な動機を持つサイバーアクターは、Azure内で採用されている従来の検出方法を回避して、仮想マシンへの完全な管理アクセスを獲得しました。

UNC3944は昨年末から活動しており、2022年5月以降、SIMスワッピング攻撃を利用して電気通信会社やビジネスプロセスアウトソーシング（BPO）会社を侵害することが知られています。さらにMandiantは、UNC3944がSTONESTOPというローダーを展開し、POORTRYという悪意のある署名付きドライバーをインストールし、BYOVD（Bring-your-own-virtualization-driver）攻撃の一環として、セキュリティソフトウェア関連のプロセスを終了させファイルを削除することを発見した。

脅威行為者がSIMスワップを行うために使用する正確な方法は、現在のところ不明です。しかし、SMSフィッシングメッセージを使用して特権ユーザーをターゲットにし、認証情報を取得することが疑われています。その後、SIMスワップを行い、コントロール下にあるSIMカードに送信される2要素認証（2FA）トークンを制御する。

昇格したアクセス権で、脅威者はAzure Network Watcher、Azure Windows Guest Agent、VMSnapshot、Azure Policyゲスト構成などのAzure VM拡張機能を悪用して、ターゲットネットワークを調査します。

偵察が完了すると、UNC3944はシリアルコンソール機能を利用し、Azure VM内で管理コマンドプロンプトを取得します。このグループは、PowerShellを使用して、正規のリモート管理ツールを展開します。

この最新の動きは、攻撃者がLotL（living-off-the-land）技術を利用し、検知を回避しながら攻撃を継続・進展させることを強調しています。攻撃者がシリアルコンソールを使用することは、これらの攻撃がオペレーティングシステム層を超えて広がっていることを示すものです。残念ながら、クラウドリソースはしばしば誤解され、設定ミスにより、攻撃者にとって脆弱な状態になっています。攻撃者がクラウド環境を狙う傾向が強まっていることは明らかであり、企業はクラウド資産の安全性を確保するために警戒が必要である。

---

私について:
東京を拠点にサイバーセキュリティの実践スペシャリストとして活動しています。私の日本語は完璧ではありませんが、あなたと快適に話すことができます。ここで私を見つけることができます -
LinkedIn - https://www.linkedin.com/in/arpitjain099/
GitHub - https://github.com/arpitjain099

私はこのブログを情熱的なプロジェクトとして運営しています。コーヒーを買うことで、私の仕事をサポートすることができます - https://www.buymeacoffee.com/arpitjain099