Microsoft, Storm-1977 olarak izlediği bir tehdit aktörünün, geçtiğimiz yıl eğitim sektöründeki bulut kiracılarına karşı şifre püskürtme saldırıları gerçekleştirdiğini açıkladı.
Microsoft Tehdit İstihbarat Ekibi bir analizde, “Saldırı, çok çeşitli tehdit aktörleri tarafından kullanılan bir komut satırı arayüzü (CLI) aracı olan Azurechecker.exe’nin kullanımını içeriyor.” Dedi.
Teknoloji devi, ikili “sac-auth.nodefonction adlı harici bir sunucuya bağlanmanın gözlemlendiğini belirtti.[.]VIP “Parola sprey hedeflerinin bir listesini içeren AES şifreli bir veriyi almak için.
Araç ayrıca, şifre sprey saldırısını gerçekleştirmek için kullanılacak kullanıcı adı ve şifre kombinasyonlarını içeren “hesabı.txt” adlı bir metin dosyası olarak kabul edilir.
Microsoft, “Tehdit oyuncusu daha sonra her iki dosyadan gelen bilgileri daha sonra kullandı ve kimlik bilgilerini doğrulama için hedef kiracılara gönderdi.” Dedi.
Redmond tarafından gözlemlenen başarılı bir hesap uzlaşması örneğinde, tehdit oyuncusunun tehlikeye atılan abonelik içinde bir kaynak grubu oluşturmak için bir konuk hesabından yararlandığı söyleniyor.
Saldırganlar daha sonra yasadışı kripto para madenciliği yapmak amacıyla kaynak grubunda 200’den fazla konteyner yarattı.
Microsoft, Kubernetes kümeleri, konteyner kayıtları ve görüntüler gibi konteynerleştirilmiş varlıkların – – kullanma da dahil olmak üzere çeşitli saldırılara karşı sorumlu olduğunu söyledi.
- Küme devralmayı kolaylaştırmak için uzlaşmış bulut kimlik bilgileri
- Kötü niyetli eylemler yürütmek için güvenlik açıklarına ve yanlış yapılandırmalara sahip konteyner görüntüleri
- Kubernetes API’sına erişmek ve kötü niyetli kaplar dağıtmak veya tüm kümeyi ele geçirmek için yanlış yapılandırılmış yönetim arayüzleri
- Savunmasız kod veya yazılım üzerinde çalışan düğümler
Bu tür kötü niyetli faaliyetleri azaltmak için kuruluşların konteyner dağıtımını ve çalışma süresini güvence altına almaları, olağandışı Kubernetes API isteklerini izlemeleri, kapsayıcıların güvenilmeyen kayıtlardan dağıtılmasını önlemek için politikalar yapılandırmaları ve kapsayıcılara dağıtılan görüntülerin güvenlik açığından arınmış olmasını sağlamak için politikalar yapmaları tavsiye edilir.