Một nhân tố mạng lưới đang sử dụng Microsoft Azure Serial Console trên các máy ảo (VMs) để cài đặt các công cụ quản lý từ xa thứ ba, theo Mandiant. Nhóm nguy cơ, UNC3944, còn được gọi là Roasted 0ktapus và Scattered Spider, và được tin rằng đã sử dụng SIM swapping để truy cập vào các mục tiêu từ tháng 5 năm 2022. Sau đó họ sử dụng một trình điều khiển đã được ký kết ác, STONESTOP, để chấm dứt các tiến trình liên quan đến phần mềm bảo mật và xóa các tập tin. Truy cập ban đầu được nghi ngờ để bao gồm sử dụng tin nhắn SMS phishing để lấy thông tin xác thực và sau đó một SIM swap để nhận mã xác thực hai yếu tố (2FA). Người tấn công sử dụng PowerShell để triển khai các công cụ quản lý từ xa hợp lệ và các phần mở rộng VM Azure để khảo sát mạng mục tiêu. Mandiant cảnh báo rằng những tấn công này không còn giới hạn trên lớp hệ điều hành và các tài nguyên đám mây thường được hiểu ít, dẫn đến các cấu hình sai mà có thể làm cho chúng dễ bị tấn công.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.