За последний год кибергруппировка Storm-1977 провела серию целенаправленных атак на облачные системы образовательных учреждений. Злоумышленники использовали метод перебора паролей (password spraying) с помощью специализированного инструмента AzureChecker.exe, что позволило им получить доступ к облачным ресурсам и развернуть более 200 контейнеров для добычи криптовалюты.
Технический анализ показал, что инструмент AzureChecker устанавливает соединение с внешним сервером "sac-auth.nodefunction[.]vip", который предоставляет AES-шифрованные данные, содержащие цели для атаки перебором паролей. Утилита принимает входной файл "accounts.txt" с комбинациями имен пользователей и паролей, которые затем отправляются на целевые облачные системы для проверки.
В одном из успешных случаев компрометации злоумышленники эксплуатировали гостевую учетную запись, что позволило им создать группу ресурсов в скомпрометированной подписке. После получения доступа Storm-1977 развернула более 200 контейнеров, предназначенных для майнинга криптовалюты, что значительно увеличило расходы пострадавшей организации и привело к нецелевому использованию вычислительных ресурсов.
Среди наиболее уязвимых активов в этих атаках оказались кластеры Kubernetes, реестры контейнеров и образы контейнеров. Злоумышленники использовали несколько векторов атаки: скомпрометированные учетные данные облачных сервисов, уязвимые или неправильно настроенные образы контейнеров, ошибки в конфигурации интерфейсов управления, а также узлы, работающие на уязвимом программном обеспечении.
Для предотвращения подобных атак специалисты рекомендуют усилить безопасность процессов развертывания и выполнения контейнеров. Важно настроить мониторинг необычных запросов к API Kubernetes, которые могут свидетельствовать о вредоносной активности.
Организациям следует сконфигурировать политики безопасности, запрещающие использование ненадежных реестров контейнеров. Это позволит предотвратить загрузку и выполнение вредоносных образов. Также критически важно регулярно проверять образы контейнеров на наличие уязвимостей, которые могут быть использованы злоумышленниками.
Атаки Storm-1977 демонстрируют растущую тенденцию целенаправленных действий против образовательного сектора, где часто наблюдается недостаточный уровень защиты облачной инфраструктуры. Использование специализированных инструментов, подобных AzureChecker, позволяет злоумышленникам эффективно обнаруживать и эксплуатировать слабые места в системах безопасности.
Эксперты подчеркивают, что образовательные учреждения должны уделять особое внимание защите своих облачных ресурсов, поскольку они становятся привлекательной мишенью для киберпреступников, стремящихся использовать вычислительные мощности для криптомайнинга и других вредоносных целей.
Изображение носит иллюстративный характер
Технический анализ показал, что инструмент AzureChecker устанавливает соединение с внешним сервером "sac-auth.nodefunction[.]vip", который предоставляет AES-шифрованные данные, содержащие цели для атаки перебором паролей. Утилита принимает входной файл "accounts.txt" с комбинациями имен пользователей и паролей, которые затем отправляются на целевые облачные системы для проверки.
В одном из успешных случаев компрометации злоумышленники эксплуатировали гостевую учетную запись, что позволило им создать группу ресурсов в скомпрометированной подписке. После получения доступа Storm-1977 развернула более 200 контейнеров, предназначенных для майнинга криптовалюты, что значительно увеличило расходы пострадавшей организации и привело к нецелевому использованию вычислительных ресурсов.
Среди наиболее уязвимых активов в этих атаках оказались кластеры Kubernetes, реестры контейнеров и образы контейнеров. Злоумышленники использовали несколько векторов атаки: скомпрометированные учетные данные облачных сервисов, уязвимые или неправильно настроенные образы контейнеров, ошибки в конфигурации интерфейсов управления, а также узлы, работающие на уязвимом программном обеспечении.
Для предотвращения подобных атак специалисты рекомендуют усилить безопасность процессов развертывания и выполнения контейнеров. Важно настроить мониторинг необычных запросов к API Kubernetes, которые могут свидетельствовать о вредоносной активности.
Организациям следует сконфигурировать политики безопасности, запрещающие использование ненадежных реестров контейнеров. Это позволит предотвратить загрузку и выполнение вредоносных образов. Также критически важно регулярно проверять образы контейнеров на наличие уязвимостей, которые могут быть использованы злоумышленниками.
Атаки Storm-1977 демонстрируют растущую тенденцию целенаправленных действий против образовательного сектора, где часто наблюдается недостаточный уровень защиты облачной инфраструктуры. Использование специализированных инструментов, подобных AzureChecker, позволяет злоумышленникам эффективно обнаруживать и эксплуатировать слабые места в системах безопасности.
Эксперты подчеркивают, что образовательные учреждения должны уделять особое внимание защите своих облачных ресурсов, поскольку они становятся привлекательной мишенью для киберпреступников, стремящихся использовать вычислительные мощности для криптомайнинга и других вредоносных целей.
