Un attore cyber sta usando la console seriale di Microsoft Azure su macchine virtuali (VM) per installare strumenti di gestione remota di terze parti, secondo Mandiant. Il gruppo di minaccia, UNC3944, è anche conosciuto come Roasted 0ktapus e Scattered Spider, e si ritiene che abbia utilizzato lo scambio di SIM per accedere ai target dal maggio 2022. Quindi impiegano un driver firmato malevolo, STONESTOP, per terminare i processi associati al software di sicurezza e cancellare i file. L’accesso iniziale è sospettato di coinvolgere l’uso di messaggi di phishing SMS per ottenere le credenziali e quindi uno scambio di SIM per ricevere il token di autenticazione a due fattori (2FA). L’attaccante utilizza PowerShell per distribuire strumenti di amministrazione remota legittimi e estensioni di VM di Azure per esaminare la rete di destinazione. Mandiant avverte che questi attacchi non sono più limitati al livello del sistema operativo e che le risorse cloud sono spesso poco comprese, portando a configurazioni errate che possono renderle vulnerabili.
Source: Hackernews
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.