Microsoft เปิดเผยว่า กลุ่มแฮ็กเกอร์ Storm-1977 ได้ดำเนินการโจมตีแบบ Password spraying กับผู้ใช้บริการคลาวด์ในภาคการศึกษาในช่วงปีที่ผ่านมา
ทีม Threat Intelligence ของ Microsoft ระบุในการวิเคราะห์ว่า การโจมตีนี้เกี่ยวข้องกับการใช้ AzureChecker.exe ซึ่งเป็นเครื่องมือ Command Line Interface (CLI) ที่กลุ่มผู้โจมตีจำนวนมากกำลังนำมาใช้งาน
Microsoft รายงานว่า ได้สังเกตเห็นไบนารีที่เชื่อมต่อกับเซิร์ฟเวอร์ภายนอกที่มีชื่อว่า "sac-auth.nodefunction[.]vip" เพื่อดึงข้อมูลที่เข้ารหัสแบบ AES ซึ่งประกอบด้วยรายชื่อเป้าหมายที่จะทำการโจมตีแบบ Password spraying
เครื่องมือนี้ใช้เพื่อรับไฟล์ text ชื่อ "accounts.txt" ที่ประกอบด้วยชื่อผู้ใช้ และรหัสผ่านที่ใช้ในการดำเนินการโจมตี
ทาง Microsoft รายงานว่า ผู้ไม่หวังดีได้ใช้ข้อมูลจากทั้งสองไฟล์ และส่งข้อมูล credentials ของผู้ใช้บริการไปยัง tenants เป้าหมาย เพื่อตรวจสอบความถูกต้อง
ในกรณีหนึ่งที่สามารถโจมตีบัญชีได้สำเร็จ ผู้ไม่หวังดีได้ใช้ประโยชน์จาก guest account เพื่อสร้าง resource group ภายใน compromised subscription
จากนั้นผู้โจมตีได้สร้างคอนเทนเนอร์มากกว่า 200 รายการภายใน resource group โดยมีเป้าหมายสูงสุดเพื่อดำเนินการขุดเงินดิจิทัลอย่างผิดกฎหมาย
Microsoft ระบุว่า assets ที่อยู่ในคอนเทนเนอร์ เช่น Kubernetes Clusters, container registries และ images มีความเสี่ยงต่อการถูกโจมตีในรูปแบบต่าง ๆ ดังนี้
- ข้อมูล Credentials บน Cloud ที่ถูก Compromised ทำให้สามารถเข้ายึด Clusters ได้
- Container images ที่มีช่องโหว่ และการกำหนดค่าที่ผิดพลาด เพื่อการดำเนินการที่เป็นอันตราย
- การกำหนดค่า management interfaces ที่ผิดพลาด เพื่อเข้าถึง Kubernetes API และ deploy container ที่เป็นอันตราย หรือเข้ายึด Clusters ทั้งหมด
- Nodes ที่ทำงานบนโค้ด หรือซอฟต์แวร์ที่มีช่องโหว่
การป้องกัน
- ควรรักษาความปลอดภัยในการ deploy container และ runtime
- ตรวจสอบ Kubernetes API requet ในลักษณะที่ผิดปกติ
- กำหนด Policy เพื่อป้องกันการ Deploy Registries ที่ไม่น่าเชื่อถือ
- ตรวจสอบให้แน่ใจว่า Image ที่ถูก Deploy ในคอนเทนเนอร์ไม่มีช่องโหว่
ที่มา : thehackernews
You must be logged in to post a comment.