Microsoft ha rivelato che un attore di minaccia che traccia come Storm-1977 ha condotto Attacchi di spruzzatura della password contro gli inquilini del cloud nel settore dell’istruzione nell’ultimo anno.
“L’attacco prevede l’uso di AzureChecker.exe, uno strumento CLI (Command Line Interface) che viene utilizzato da una vasta gamma di attori delle minacce”, il group di intelligence delle minacce di Microsoft disse in un’analisi.
Il gigante della tecnologia ha osservato che ha osservato il binario di connettersi a un server esterno chiamato “sac-auth.nodefunction (.) VIP” per recuperare un dati crittografato con AES che contiene un elenco di goal di spruzzo password.
Lo strumento accetta inoltre come file di testo chiamato “Accounts.txt” che embody le combinazioni di nome utente e password da utilizzare per eseguire l’attacco a spruzzo di password.
“L’attore di minaccia ha quindi utilizzato le informazioni da entrambi i file e ha pubblicato le credenziali agli inquilini goal per la convalida”, ha affermato Microsoft.
In un esempio di compromesso di account osservati da Redmond, si cube che l’attore delle minacce abbia sfruttato un account ospite per creare un gruppo di risorse all’interno dell’abbonamento compromesso.
Gli aggressori hanno quindi creato più di 200 contenitori all’interno del gruppo di risorse con l’obiettivo finale di condurre il mining illecito di criptovaluta.
Microsoft ha affermato che le risorse containeried, come i cluster di Kubernetes, i registri dei container e le immagini, sono responsabile A vari tipi di attacchiincluso l’uso –
- Credenziali cloud compromesse per facilitare l’acquisizione del cluster
- Immagini del contenitore con vulnerabilità e errate configurazioni per compiere azioni dannose
- Interfacce di gestione sbagliata per ottenere l’accesso all’API di Kubernetes e distribuire contenitori dannosi o dirottare l’intero cluster
- Nodi che funzionano su codice o software program vulnerabili
Per mitigare tali attività dannose, si consiglia alle organizzazioni di garantire la distribuzione dei container e il runtime, monitorare le insolite richieste API di Kubernetes, configurare politiche per impedire che i contenitori vengano distribuiti da registri non attendibili e assicurarsi che le immagini distribuite nei contenitori siano libere dalle vulnerabilità.
