UNC3944：透过SIM交换攻击入侵Azure的风险

关键要点

Mandiant研究团队发现UNC3944利用特权账户入侵Microsoft Azure并获得完全的管理员访问权限。该集团以经济利益和声望为动机，采用了多次入侵和SIM交换攻击的手段。UNC3944的攻击手段未被安全界广泛认识，这使得云资源中的配置错误成为攻击者的目标。组织需要调整安全策略，投资于有效的保护工具，以防止此类攻击。

有安全研究机构Mandiant指出，一个名为UNC3944的威胁行为者正在滥用特权账户，访问Microsoft Azure的串行控制台。此举使得UNC3944绕过了Azure内的多项防御和检测方法，从而获得了Windows虚拟机VMs文本控制台的完全管理员访问权限。

Mandiant的研究人员在5月16日的一篇博文中提到，UNC3944通过SIM交换攻击及多个入侵手段来实现这一点，包括使用Azure串行控制台和其他Azure扩展。

在给SC Media的电子邮件回复中，Mandiant的研究人员表示，UNC3944是一个“松散组成的全球性团体，并不局限于某一地点。许多成员使用英语作为母语，出于财务利益、名声等多种动机进行入侵。”

尽管Mandiant的研究人员表示他们在2022年5月首次识别了该组织，并且观察到了多种攻击技术，但这些技术在安全界中并不广为人知。研究人员在博文中指出，云资源通常被误解，从而导致错误配置，使资产暴露于攻击者的攻击之下。

“虽然初始访问、横向移动和持久性的方法在不同攻击者之间有所不同，但有一点是明确的：攻击者已经将目光投向云端，”研究人员写道。

这一案例显示攻击者在绕过传统安全检查和控制方面变得越来越聪明，随着真正的安全边界从终端和网络转移到移动设备和云端，这类攻击也在不断演变。Zimperium的美洲地区销售工程副总裁Kern Smith解释道：“这些攻击越来越多地针对用户，而组织在传统安全工具下对这些行为没有可见性，例如使用‘短信钓鱼’来获取必要的信息，以便进行此类攻击，在这种情况下，攻击者获取凭证并假冒受信任的机器。”

狂飙app官网

Viakoo的首席执行官Bud Broomhead表示，SIM交换的威胁主要是个人化的：攻击者获取SIM卡，然后绕过多因素身份验证以盗取用户的银行账户。Broomhead指出，在此案例中，UNC3944虽也出于财务动机，但其目标是企业而非个人，使得攻击的可能性更加广泛。

“对一个拥有管理员权限的人的单次SIM交换，提供了无尽的持久化机会，可以通过创建新账户和在基础设施内横向移动，”Broomhead表示。“在这种情况下的威胁远不止直接的经济利益或数据外泄。通过控制组织的Azure环境，攻击者可以植入深度伪造、修改数据，甚至控制通常在云中管理的物联网/工控资产。”

Broomhead表示，依赖于基于SIM的多因素身份验证如今已经成为一种不良实践，因为市场上已经有其他身份验证方式可用，如FIDO2、Azure AD证书和Windows Hello for Business。如果一个组织依赖于基于SIM的多因素身份验证进行身份验证，他们应该采取额外的安全步骤，确保移动账户由组织管理而非个人控制。

“劫持SIM并不容易，而这个威胁行为者可能与移动运营商有关系，从而使得这种利用成为可能，”Broomhead表示。“移动运营商是否会因导致SIM交换而导致的违规而承担责任？这个案例或许会使得这一情况更加可能。”

Rezonate的联合创始人兼首席执行官Roy Akerman表示，虽然SIM交换技术并不新颖，但Mandiant的报告强调UNC3944已经演变以进一步扩展通过受损