Microsoftは、Storm-1977として追跡している脅威アクターが、過去1年間に教育セクターのクラウドテナントに対してパスワードスプレー攻撃を行ったことを明らかにしました。
「この攻撃には、広範な脅威アクターが使用しているコマンドラインインターフェイス(CLI)ツールであるAzureChecker.exeの使用が含まれています」とMicrosoftの脅威インテリジェンスチームは分析で述べています。
このテクノロジー大手は、バイナリが「sac-auth.nodefunction[.]vip」という名前の外部サーバーに接続し、パスワードスプレーターゲットのリストを含むAES暗号化データを取得することを観察したと指摘しました。
このツールはまた、「accounts.txt」と呼ばれるテキストファイルを入力として受け入れ、パスワードスプレー攻撃を実行するために使用されるユーザー名とパスワードの組み合わせを含んでいます。
「脅威アクターはその後、両方のファイルからの情報を使用して、ターゲットテナントに資格情報を投稿し、検証を行いました」とMicrosoftは述べています。
Redmondによって観察されたアカウント侵害の成功事例の1つでは、脅威アクターがゲストアカウントを利用して、侵害されたサブスクリプション内にリソースグループを作成したとされています。
攻撃者はその後、リソースグループ内に200以上のコンテナを作成し、最終的な目的として不正な暗号通貨マイニングを行いました。
Microsoftは、Kubernetesクラスター、コンテナレジストリ、イメージなどのコンテナ化された資産が、さまざまな種類の攻撃に対して脆弱であると述べています。これには以下が含まれます –
- クラウド資格情報の侵害を利用してクラスターを乗っ取る
- 脆弱性や誤設定のあるコンテナイメージを使用して悪意のある行動を実行する
- 誤設定された管理インターフェースを利用してKubernetes APIにアクセスし、悪意のあるコンテナをデプロイしたり、クラスター全体を乗っ取ったりする
- 脆弱なコードやソフトウェアで動作するノード
このような悪意のある活動を軽減するために、組織はコンテナのデプロイとランタイムを保護し、異常なKubernetes APIリクエストを監視し、信頼できないレジストリからのコンテナのデプロイを防ぐポリシーを設定し、コンテナ内でデプロイされるイメージが脆弱性を持たないことを確認するよう推奨されています。