此篇文章報導了微軟威脅情報團隊最近的警告,指出駭客在過去一年中,偏好利用不安全的工作負載對容器環境進行攻擊,並以命令列工具AzureChecker.exe為手段發動攻擊。這些攻擊行為特別針對教育領域的雲端租戶環境,駭客通過這些漏洞進行密碼潑灑攻擊,並最終成功建立資源群組進行非法挖礦活動。
微軟威脅情報團隊具體舉了駭客組織Storm-1977發起的一次密碼潑灑(Password Spray)攻擊為例,該攻擊針對教育領域的雲端租戶進行。在此攻擊中,駭客使用了AzureChecker.exe這一命令列工具,進行了一系列活動:
- 下載並解密資料:駭客首先從特定網域下載了經過AES演算法處理的加密資料,並將其解密,進一步識別攻擊目標。
- 密碼潑灑攻擊:隨後,駭客使用AzureChecker.exe來讀取包含帳號和密碼的資料列表(accounts.txt),並對目標租戶發動密碼潑灑攻擊,目的是利用這些帳號和密碼組合進行登入。
一旦攻擊者成功入侵,作者指出,駭客會透過訪客帳號建立資源群組,並利用這些資源進行非法挖礦。在這次攻擊中,微軟發現駭客成功建立了超過200個容器來進行牟利活動。這些容器為駭客提供了資源,並進一步加大了系統的負擔和風險。
除了針對活躍環境的攻擊,此篇文章還提到微軟觀察到未使用的工作負載也可能成為駭客攻擊的媒介。根據微軟的統計資料,過去一年中有超過半數(51%)的工作負載處於完全無活動狀態,而這些工作負載恰恰是駭客利用的目標。駭客可能會濫用這些閒置的資源來發起攻擊或進行不法活動。
綜合來看,本文提醒企業特別是教育領域的雲端服務用戶,要密切注意其工作負載的安全性。駭客利用AzureChecker.exe等工具,通過密碼潑灑攻擊來入侵系統,並濫用容器資源進行挖礦等非法活動。企業應該加強對雲端環境的監控,定期檢查未使用的工作負載,並確保所有系統的安全性,以防止被駭客利用。
