Microsoft ha revelado que un actor de amenaza que rastrea, ya que Storm-1977 ha realizado ataques de pulverización de contraseña contra inquilinos en la nube en el sector educativo durante el año pasado.
«El ataque implica el uso de Azurechecker.exe, una herramienta de interfaz de línea de comandos (CLI) que está siendo utilizada por una amplia gama de actores de amenazas», dijo el equipo de inteligencia de amenazas de Microsoft en un análisis.
El gigante de la tecnología señaló que observó el binario para conectarse a un servidor externo llamado «Sac-Auth.NodeFunction (.) VIP» para recuperar un datos cifrados de AES que contiene una lista de objetivos de pulverización de contraseña.
La herramienta también acepta como entrada de un archivo de texto llamado «cuentas.txt» que incluye las combinaciones de nombre de usuario y contraseña que se utilizarán para llevar a cabo el ataque con contraseña.
«El actor de amenaza utilizó la información de ambos archivos y publicó las credenciales a los inquilinos objetivo para su validación», dijo Microsoft.
En un caso exitoso de compromiso de cuenta observado por Redmond, se dice que el actor de amenaza aprovechó una cuenta de invitado para crear un grupo de recursos dentro de la suscripción comprometida.
Luego, los atacantes crearon más de 200 contenedores dentro del grupo de recursos con el objetivo final de realizar minería ilícita de criptomonedas.
Microsoft dijo que los activos contenedores, como los grupos de Kubernetes, los registros de contenedores e imágenes, están sujetos a varios tipos de ataques, incluido el uso de –
- Credenciales de nube comprometidas para facilitar la adquisición de clúster
- Imágenes de contenedores con vulnerabilidades y configuraciones erróneas para llevar a cabo acciones maliciosas
- Interfaces de gestión mal configuradas para obtener acceso a la API de Kubernetes e implementar contenedores maliciosos o secuestrar todo el clúster
- Nodos que se ejecutan en código o software vulnerable
Para mitigar tales actividades maliciosas, se aconseja a las organizaciones que aseguren la implementación de contenedores y el tiempo de ejecución, monitorean las solicitudes de API de Kubernetes inusuales, configure las políticas para evitar que los contenedores se implementen en registros no confiables y garanticen que las imágenes que se despliegan en contenedores sean gratuitas de las vulnerabilidades.
