A Microsoft revelou que o grupo de cibercriminosos Storm-1977 tem realizado ataques de “password spraying” contra ambientes de nuvem no setor educacional ao longo do último ano. A operação utiliza o AzureChecker.exe, uma ferramenta de linha de comando que se conecta a um servidor externo, “sac-auth.nodefunction[.]vip”, para baixar dados criptografados contendo alvos de ataque. Além disso, o programa aceita um arquivo de texto, “accounts.txt”, com combinações de usuários e senhas para facilitar as tentativas de invasão.

Segundo a equipe de Inteligência de Ameaças da Microsoft, em um dos casos observados, os atacantes exploraram uma conta de convidado comprometida para criar um grupo de recursos dentro da assinatura afetada. A partir daí, implantaram mais de 200 contêineres com o objetivo de realizar mineração ilícita de criptomoedas, utilizando a infraestrutura em nuvem da vítima.

O relatório ainda destaca que ativos de contêineres, como clusters Kubernetes e registros de imagens, estão cada vez mais vulneráveis a uma série de ataques. Estes incluem a tomada de clusters a partir do uso de credenciais comprometidas, a exploração de vulnerabilidades em imagens de contêiner, o abuso de interfaces de gerenciamento mal configuradas para acessar APIs Kubernetes e a execução de softwares inseguros em nós de computação. Para reduzir esses riscos, a Microsoft recomenda fortalecer a segurança tanto no momento do deployment quanto na execução de contêineres, monitorar atentamente requisições anômalas à API Kubernetes, evitar o uso de registros de imagens não confiáveis e garantir que todas as imagens utilizadas estejam livres de vulnerabilidades conhecidas.