Un actor cibernètic està utilitzant Microsoft Azure Serial Console en màquines virtuals (VMs) per instal·lar eines de gestió remota de tercers, segons Mandiant. El grup de amenaces, UNC3944, també és conegut com Roasted 0ktapus i Scattered Spider, i es creu que des de maig de 2022 han utilitzat el canvi de SIM per accedir a les destinacions. Després, empren un controlador maliciós signat, STONESTOP, per finalitzar els processos associats al programari de seguretat i esborrar fitxers. S’ha sospitat que l’accés inicial implica l’ús de missatges de phishing SMS per obtenir les credencials i després un canvi de SIM per rebre el token de autenticació de dos factors (2FA). L’atacant utilitza PowerShell per desplegar eines de administració remota legítimes i extensions de VM d’Azure per sondejar la xarxa de destinació. Mandiant adverteix que aquests atacs ja no es limiten a la capa del sistema operatiu i que els recursos en núvol sovint es comprenen malament, cosa que els deixa vulnerables a les mal·configuracions.
Source: Hackernews
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.