Microsoft ha revelado que un actor de amenaza que rastrea, ya que Storm-1977 ha realizado ataques de pulverización de contraseña contra inquilinos en la estrato en el sector educativo durante el año pasado.
“El ataque implica el uso de Azurechecker.exe, una aparejo de interfaz de término de comandos (CLI) que está siendo utilizada por una amplia viso de actores de amenazas”, dijo el equipo de inteligencia de amenazas de Microsoft en un estudio.
El coloso de la tecnología señaló que observó el binario para conectarse a un servidor foráneo llamado “Sac-Auth.NodeFunction (.) VIP” para recuperar un datos cifrados de AES que contiene una índice de objetivos de pulverización de contraseña.
La aparejo además acepta como entrada de un archivo de texto llamado “cuentas.txt” que incluye las combinaciones de nombre de heredero y contraseña que se utilizarán para resistir a extremidad el ataque con contraseña.
“El actor de amenaza utilizó la información de entreambos archivos y publicó las credenciales a los inquilinos objetivo para su fuerza”, dijo Microsoft.
En un caso exitoso de compromiso de cuenta observado por Redmond, se dice que el actor de amenaza aprovechó una cuenta de invitado para crear un corro de bienes en el interior de la suscripción comprometida.
Luego, los atacantes crearon más de 200 contenedores en el interior del corro de bienes con el objetivo final de realizar minería ilícita de criptomonedas.
Microsoft dijo que los activos contenedores, como los grupos de Kubernetes, los registros de contenedores e imágenes, están sujetos a varios tipos de ataques, incluido el uso de –
- Credenciales de estrato comprometidas para simplificar la adquisición de clúster
- Imágenes de contenedores con vulnerabilidades y configuraciones erróneas para resistir a extremidad acciones maliciosas
- Interfaces de dirección mal configuradas para obtener camino a la API de Kubernetes e implementar contenedores maliciosos o secuestrar todo el clúster
- Nodos que se ejecutan en código o software abandonado
Para mitigar tales actividades maliciosas, se aconseja a las organizaciones que aseguren la implementación de contenedores y el tiempo de ejecución, monitorean las solicitudes de API de Kubernetes inusuales, configure las políticas para evitar que los contenedores se implementen en registros no confiables y garanticen que las imágenes que se despliegan en contenedores sean gratuitas de las vulnerabilidades.
