Microsoft a révélé qu’un acteur malveillant, suivi sous le nom de Storm-1977, a mené des attaques par pulvérisation de mots de passe contre des locataires cloud dans le secteur de l’éducation au cours de l’année écoulée.
L’équipe Microsoft Threat Intelligence a déclaré dans une analyze que « l’attaque implique l’utilisation d’AzureChecker.exe, un outil en ligne de commande (CLI) utilisé par un large éventail d’acteurs malveillants ».
Le géant technologique a noté qu’il avait observé le binaire se connecter à un serveur externe nommé “sac-auth.nodefunction[.]vip” pour récupérer des données chiffrées AES contenant une liste de cibles de pulvérisation de mots de passe.
L’outil accepte également en entrée un fichier texte appelé “accounts.txt” qui comprend les combinaisons nom d’utilisateur et mot de passe à utiliser pour mener l’attaque par pulvérisation de mots de passe.
Microsoft a déclaré que « l’acteur malveillant a ensuite utilisé les informations des deux fichiers et a publié les informations d’identification aux locataires cibles pour validation ».Dans un cas de compromission de compte observé, l’acteur malveillant aurait profité d’un compte invité pour créer un groupe de ressources au sein de l’abonnement compromis.
Les attaquants ont ensuite créé plus de 200 conteneurs au sein du groupe de ressources dans le but ultime de mener une activité illicite de minage de cryptomonnaies.
Microsoft a déclaré que les actifs conteneurisés, tels que les clusters Kubernetes, les registres de conteneurs et les images, sont exposés à divers types d’attaques, notamment l’utilisation de :
Informations d’identification cloud compromises pour faciliter la prise de contrôle du cluster.
Images de conteneurs avec des vulnérabilités et des erreurs de configuration pour mener des actions malveillantes. Interfaces de gestion mal configurées pour accéder à l’API Kubernetes et déployer des conteneurs malveillants ou détourner l’ensemble du cluster.
Nœuds qui s’exécutent sur du code ou des logiciels vulnérables.
Pour atténuer ces activités malveillantes, il est conseillé aux organisations de sécuriser le déploiement et l’exécution des conteneurs, de surveiller les requêtes API Kubernetes inhabituelles, de configurer des politiques pour empêcher le déploiement de conteneurs à partir de registres non fiables et de s’assurer que les images déployées dans les conteneurs sont exemptes de vulnérabilités.
Storm-1977 : Attaques par Pulvérisation de Mots de Passe Visant le Secteur de l’Éducation
Table of Contents
Microsoft a récemment révélé une série d’attaques sophistiquées menées par le groupe Storm-1977, ciblant des locataires cloud dans le secteur de l’éducation. ces attaques, basées sur la pulvérisation de mots de passe, exploitent des vulnérabilités pour compromettre les comptes et mener des activités malveillantes, notamment le minage de cryptomonnaies.
Analyze des Attaques
Les attaques, qui ont duré un an, se basent sur l’utilisation de l’outil AzureChecker.exe. Cet outil en ligne de commande, couramment utilisé par différents acteurs malveillants, combine les informations récupérées de deux sources:
Serveur Externe: Storm-1977 se connecte à un serveur externe (sac-auth.nodefunction[.]vip) pour télécharger des données chiffrées, qui contiennent notamment une liste de cibles pour la pulvérisation de mots de passe.
Fichier accounts.txt: L’outil utilise un fichier texte nommé “accounts.txt” contenant des combinaisons nom d’utilisateur/mot de passe.
L’acteur malveillant utilise ensuite les informations de ces deux sources pour tenter de se connecter aux comptes cibles.
Compromission et Conséquences
Dans un cas observé, Storm-1977 a réussi à compromettre un compte, l’utilisant ensuite pour créer un groupe de ressources et déployer plus de 200 conteneurs. L’objectif final de cette manœuvre était le minage illicite de cryptomonnaies.
Vulnérabilités des Conteneurs exposées
microsoft a souligné les risques associés aux actifs conteneurisés, comprenant :
Compromission des informations d’identification cloud : Permettant la prise de contrôle du cluster de conteneurs.
Images de conteneurs vulnérables : Exploitation des failles de sécurité pour des actions malveillantes.
Interfaces de gestion mal configurées : Accès à l’API Kubernetes et déploiement de conteneurs malveillants.
Nœuds vulnérables : Exécution de code ou de logiciels vulnérables.
Recommandations pour la Sécurité
Pour se protéger contre ces menaces, Microsoft recommande les mesures suivantes :
Sécuriser le déploiement et l’exécution des conteneurs.
Surveiller activement les requêtes API Kubernetes inhabituelles.
Configurer des politiques de sécurité pour empêcher le déploiement de conteneurs provenant de registres non fiables.
S’assurer que les images déployées dans les conteneurs ne présentent aucune vulnérabilité.
FAQ
Q : Qu’est-ce que la pulvérisation de mots de passe ?
R : C’est une technique d’attaque consistant à tester un mot de passe courant sur plusieurs noms d’utilisateur.
Q : Quel outil est utilisé dans ces attaques ?
R : AzureChecker.exe.
Q : Sur quoi Storm-1977 concentre-t-il ses attaques ?
R : Les locataires cloud du secteur de l’éducation.
Q : Que fait Storm-1977 avec les comptes compromis ?
R : Ils les utilisent pour des activités malveillantes, comme le minage de cryptomonnaies.
Q : Quelles mesures de sécurité sont recommandées ?
R : Sécuriser les conteneurs, surveiller les requêtes Kubernetes, configurer des politiques de registre et vérifier la sécurité des images.
Résumé des Attaques et des Recommandations
| Éléments Clés | Détails | recommandations |
| —————————– | ———————————————————————– | ——————————————————————————————- |
| acteur Malveillant | Storm-1977 | |
| Technique d’Attaque | Pulvérisation de mots de passe | |
| Outil Utilisé | AzureChecker.exe | |
| Cibles | Locataires cloud dans le secteur de l’éducation | |
| Objectif Malveillant | Minage de cryptomonnaies, entre autres | |
| Vulnérabilités Explitées | Conteneurs et informations d’identification cloud | Sécuriser les conteneurs, surveiller Kubernetes, configurer des politiques de registre, etc. |
