В соответствии с данными Mandiant, киберпреступники используют серийную консоль Microsoft Azure на виртуальных машинах (VMs) для установки сторонних инструментов удаленного управления. Группу угроз, известную как UNC3944, Roasted 0ktapus и Scattered Spider, считается использовавшей замену SIM-карт для доступа к целям с мая 2022 года. Они также распространяли злонамеренный подписанный драйвер, STONESTOP, чтобы завершить процессы, связанные с программным обеспечением безопасности, и удалять файлы. Подозревается, что первоначальный доступ получается через SMS-фишинг для получения учетных данных, за которым следует замена SIM-карты для получения токена двухфакторной аутентификации (2FA). Затем атакующий использует PowerShell для развертывания законных инструментов удаленного администрирования и расширений Azure VM для исследования целевой сети. Mandiant предупреждает, что эти атаки больше не ограничиваются слоем операционной системы, и что облачные ресурсы часто плохо понимаются, что приводит к неправильной настройке, которая может сделать их уязвимыми.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.