Un actor cibernético está usando Microsoft Azure Serial Console en máquinas virtuales (VMs) para instalar herramientas de administración remota de terceros, según Mandiant. El grupo de amenazas, UNC3944, también conocido como Roasted 0ktapus y Scattered Spider, se cree que ha utilizado el intercambio de SIM desde mayo de 2022 para obtener acceso a los objetivos. Luego emplean un controlador firmado malicioso, STONESTOP, para terminar los procesos asociados con el software de seguridad y eliminar archivos. Se sospecha que el acceso inicial implica el uso de mensajes de phishing SMS para obtener credenciales y luego un intercambio de SIM para recibir el token de autenticación de dos factores (2FA). El atacante usa PowerShell para implementar herramientas de administración remota legítimas y extensiones de VM de Azure para examinar la red objetivo. Mandiant advierte que estos ataques ya no se limitan a la capa del sistema operativo y que los recursos en la nube a menudo se entienden mal, lo que lleva a configuraciones incorrectas que los pueden dejar vulnerables.
Source: Hackernews
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.