Piratas informáticos utilizan la consola serie de Azure para acceder sigilosamente a las máquinas virtuales
Una pandilla cibernética motivada financieramente, rastreada por Mandiant como ‘UNC3944’, utiliza ataques de phishing y de intercambio de SIM para secuestrar cuentas de administrador de Microsoft Azure y obtener acceso a máquinas virtuales.
A partir de ahí, los atacantes abusan de la consola serie de Azure para instalar software de administración remota para la persistencia y abusan de las extensiones de Azure para la vigilancia sigilosa.
Mandiant informa que UNC3944 ha estado activo desde al menos mayo de 2022, y su campaña tiene como objetivo robar datos de las organizaciones víctimas que utilizan el servicio de computación en la nube de Microsoft.
UNC3944 se atribuyó con anterioridad a la creación del kit de herramientas STONESTOP (cargador) y POORTRY (controlador en modo kernel) para finalizar el software de seguridad.
Los actores de amenazas utilizaron cuentas de desarrolladores de hardware de Microsoft robadas para firmar sus controladores de kernel.