Um ator cibernético com motivação financeira foi observado abusando do Microsoft Azure Serial Console em máquinas virtuais (VMs) para instalar ferramentas de gerenciamento remoto de terceiros em ambientes comprometidos.

Esse método de ataque foi único porque evitou muitos dos métodos de detecção tradicionais empregados no Azure e forneceu ao invasor acesso administrativo total à VM.

O grupo de ameaças UNC3944, veio à tona pela primeira vez no final do ano passado, e é conhecido por alavancar ataques de troca de SIM para violar empresas de telecomunicações e terceirização de processos de negócios (BPO) desde pelo menos maio de 2022.

Armado com o acesso elevado, o agente da ameaça se move para pesquisar a rede de destino, explorando as extensões de VM do Azure, como Azure Network Watcher, Azure Windows Guest Agent, VMSnapshot e configuração de convidado do Azure Policy.

Depois que o invasor conclui seu reconhecimento, ele emprega a funcionalidade do console serial para obter um prompt de comando administrativo dentro de uma VM do Azure.

Infelizmente, os recursos da nuvem geralmente são mal compreendidos, levando a configurações incorretas que podem deixar esses ativos vulneráveis a invasores.

Embora os métodos de acesso inicial, movimento lateral e persistência variem de um invasor para outro, uma coisa é clara: os invasores estão de olho a nuvem.