Microsoft alerta sobre ataques perpetrados en la nube educativa

Microsoft ha revelado que un actor de amenazas conocido como Storm-1977 ha estado llevando a cabo ataques de pulverización de contraseñas contra inquilinos de la nube en el sector educativo durante el último año.

Según el equipo de Inteligencia de Amenazas de Microsoft, los atacantes están utilizando AzureChecker.exe, una herramienta de interfaz de línea de comandos (CLI) ampliamente explotada por diversos actores maliciosos.

AzureChecker.exe: vector clave para los ataques de contraseñas

El análisis de Microsoft detalla que AzureChecker.exe establece conexión con un servidor externo identificado como "sac-auth.nodefunction[.]vip". A través de esta conexión, el binario recupera un dato cifrado mediante AES que contiene una lista de objetivos para la difusión de contraseñas.

La herramienta también procesa un archivo de texto llamado accounts.txt, que incluye combinaciones de nombre de usuario y contraseña utilizadas para intentar comprometer cuentas en servicios en la nube.

"El actor de amenazas utilizó la información de ambos archivos para publicar y validar credenciales en los inquilinos objetivo", explicó Microsoft.

Minería ilícita de criptomonedas tras comprometer cuentas

En un caso documentado de compromiso exitoso de cuenta, Storm-1977 aprovechó una cuenta de invitado comprometida para crear un grupo de recursos dentro de una suscripción de Azure. A partir de allí, los atacantes desplegaron más de 200 contenedores con el objetivo de realizar minería ilícita de criptomonedas.

Riesgos para los activos en contenedores

Microsoft advierte que los activos en contenedores, incluidos clústeres de Kubernetes, registros de contenedores e imágenes de contenedores, son vulnerables a múltiples amenazas:

• Uso de credenciales en la nube comprometidas para tomar control de clústeres.
• Explotación de imágenes de contenedores con vulnerabilidades o errores de configuración.
• Abuso de interfaces de administración mal configuradas para acceder a la API de Kubernetes e implementar contenedores maliciosos.
• Compromiso de nodos que ejecutan código o software vulnerable.

Recomendaciones para mitigar ataques de pulverización de contraseñas y proteger Kubernetes

Para protegerse frente a este tipo de ataques en la nube y minería no autorizada, Microsoft recomienda:

• Proteger la implementación y el tiempo de ejecución de los contenedores.
• Supervisar las solicitudes inusuales de la API de Kubernetes.
• Configurar políticas de seguridad que impidan la implementación de contenedores desde registros no confiables.
• Verificar que las imágenes de contenedores estén libres de vulnerabilidades antes de su despliegue.

Adoptar estas medidas es crucial para reducir la superficie de ataque y salvaguardar los entornos de nube en sectores especialmente vulnerables como el educativo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta