HackerNews 编译,转载请注明出处:
微软透露,追踪编号为Storm-1977的威胁行为者在过去一年中对教育行业的云租户实施了密码喷洒攻击。微软威胁情报团队在分析中表示:“此次攻击使用了AzureChecker.exe——一个被多种威胁行为者广泛使用的命令行接口(CLI)工具。”
这家科技巨头指出,他们观察到该二进制文件会连接到名为“sac-auth.nodefunction[.]vip”的外部服务器,以获取包含密码喷洒目标列表的AES加密数据。该工具还接受名为“accounts.txt”的文本文件作为输入,该文件包含用于执行密码喷洒攻击的用户名和密码组合。
微软表示:“威胁行为者随后使用来自这两个文件的信息,将凭证提交到目标租户进行验证。” 在雷德蒙德(微软总部所在地)观察到的一起成功账户入侵案例中,该威胁行为者利用来宾账户在被入侵的订阅中创建了一个资源组。攻击者随后在该资源组内创建了200多个容器,最终目的是进行非法加密货币挖矿。
微软称,诸如Kubernetes集群、容器注册表和镜像等容器化资产容易受到多种攻击,包括利用以下途径:
- 被入侵的云凭证来接管集群存在漏洞和错误配置的容器镜像执行恶意操作错误配置的管理接口访问Kubernetes API并部署恶意容器或劫持整个集群运行存在漏洞代码或软件的节点
为缓解此类恶意活动,建议组织采取以下措施:确保容器部署和运行时的安全性,监控异常的Kubernetes API请求,配置策略阻止从未受信任的注册表部署容器,并确保容器中部署的镜像不存在漏洞。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
