Microsoft telah mengungkapkan bahwa aktor ancaman yang dilacaknya sebagai Storm-1977 telah melakukan serangan penyemprotan kata sandi terhadap penyewa cloud di sektor pendidikan selama setahun terakhir.
“Serangan itu melibatkan penggunaan Azurechecker.exe, alat Command Line Interface (CLI) yang sedang digunakan oleh berbagai aktor ancaman,” kata tim intelijen Microsoft Ancaman dalam sebuah analisis.
Raksasa teknologi mencatat bahwa mereka mengamati biner untuk terhubung ke server eksternal bernama “sac-auth.nodefunction[.]VIP “Untuk mengambil data terenkripsi AES yang berisi daftar target semprotan kata sandi.
Alat ini juga menerima sebagai masukan file teks yang disebut “Accounts.txt” yang mencakup kombinasi nama pengguna dan kata sandi yang akan digunakan untuk melakukan serangan semprotan kata sandi.
“Aktor ancaman kemudian menggunakan informasi dari kedua file dan memposting kredensial ke penyewa target untuk validasi,” kata Microsoft.
Dalam satu contoh yang sukses dari kompromi akun yang diamati oleh Redmond, aktor ancaman dikatakan telah memanfaatkan akun tamu untuk membuat grup sumber daya dalam langganan yang dikompromikan.
Para penyerang kemudian menciptakan lebih dari 200 kontainer dalam kelompok sumber daya dengan tujuan akhir melakukan penambangan cryptocurrency ilegal.
Microsoft mengatakan aset yang dikemas, seperti kluster Kubernetes, pendaftar kontainer, dan gambar, bertanggung jawab atas berbagai jenis serangan, termasuk menggunakan –
- Kredensial cloud yang dikompromikan untuk memfasilitasi pengambilalihan cluster
- Gambar kontainer dengan kerentanan dan kesalahan konfigurasi untuk melakukan tindakan jahat
- Antarmuka manajemen yang salah konfigurasi untuk mendapatkan akses ke API Kubernetes dan menggunakan wadah berbahaya atau membajak seluruh cluster
- Node yang berjalan pada kode atau perangkat lunak yang rentan
Untuk mengurangi kegiatan jahat seperti itu, organisasi disarankan untuk mengamankan penyebaran dan runtime kontainer, memantau permintaan API Kubernetes yang tidak biasa, mengkonfigurasi kebijakan untuk mencegah wadah dari dikerahkan dari pendaftar yang tidak terpercaya dan memastikan bahwa gambar yang digunakan dalam wadah bebas dari kerentanan.
