Microsoft ha informado que un actor de amenazas identificado como Storm-1977 ha llevado a cabo ataques de rociado de contraseñas dirigidos a inquilinos de la nube en el sector educativo a lo largo del último año.

Según el análisis del equipo de Inteligencia de Amenazas de Microsoft, los atacantes utilizaron una herramienta de línea de comandos llamada AzureChecker.exe, ampliamente empleada por diferentes grupos maliciosos.

Durante la investigación, Microsoft detectó que el binario se conectaba a un servidor externo denominado “sac-auth.nodefunction[.]vip” para recuperar datos cifrados mediante AES, los cuales contenían listas de objetivos para los ataques de rociado de contraseñas.

Además, la herramienta permite cargar un archivo de texto, “accounts.txt”, que contiene combinaciones específicas de nombre de usuario y contraseña que el atacante utiliza para intentar acceder a las cuentas objetivo.

“El actor de amenazas combina la información de ambos archivos para enviar las credenciales a los inquilinos seleccionados y validar su acceso”, explicó Microsoft.

Caso de compromiso exitoso

En uno de los incidentes analizados, Storm-1977 logró comprometer una cuenta de invitado y, utilizando sus permisos, creó un grupo de recursos dentro de la suscripción comprometida.

Posteriormente, los atacantes generaron más de 200 contenedores dentro del grupo, con el propósito principal de llevar a cabo minería ilícita de criptomonedas.

Riesgos para activos en contenedores

Microsoft advirtió que los activos en contenedores, como clústeres de Kubernetes, registros de contenedores e imágenes de contenedores, están expuestos a múltiples tipos de amenazas, entre ellas:

  • Uso de credenciales comprometidas para tomar el control del clúster.
  • Explotación de imágenes de contenedores vulnerables o mal configuradas para realizar actividades maliciosas.
  • Acceso a interfaces de administración mal configuradas, permitiendo a los atacantes manipular la API de Kubernetes para desplegar contenedores maliciosos o secuestrar todo el clúster.
  • Ejecución de software vulnerable en los nodos del clúster.

Recomendaciones de seguridad

Para mitigar estos riesgos, Microsoft recomienda a las organizaciones:

  • Proteger la implementación y el entorno de ejecución de los contenedores.
  • Monitorear solicitudes anómalas a la API de Kubernetes.
  • Restringir el despliegue de contenedores a registros de confianza únicamente.
  • Asegurar que las imágenes utilizadas estén libres de vulnerabilidades antes de su implementación.

Fuentes: thehackernews.com

You May Also Like

Lazarus group usa la táctica ClickFix para infectar a buscadores de empleo con GolangGhost

HKN FEED

Vulnerabilidad Crítica en FortiManager Permite Ejecución Remota de Código (CVE-2024-47575)

HKN FEED

“¡Alerta! Nueva vulnerabilidad en HTTP/2 abre la puerta a devastadores ataques DoS contra servidores web”

HKN FEED