Sofisticirana grupa hakera, praćena kao Storm-1977, uspješno je ugrozila više od 200 kontejnera i preinačila ih za operacije rudarenja kriptovaluta, koristeći prilagođeni alat Command Line Interface (CLI) poznat kao AzureChecker.
Napadi su prvenstveno bili usmjereni na zakupce oblaka u obrazovnom sektoru kroz tehnike raspršivanja lozinki, iskorištavajući slabu sigurnost kredencijala i mehanizme provjere autentičnosti kako bi dobili početni pristup okruženjima u oblaku.
Jednom kada je postignuta uspješna autentikacija, hakeri su brzo krenuli da uspostave postojanost kreiranjem grupa resursa unutar ugroženih pretplata, na kraju postavljajući stotine kontejnera konfigurisanih za aktivnosti kriptomajnovanja.
Istraživači Microsoft Threat Intelligence identifikovali su ovu kampanju tokom rutinskih operacija praćenja pretnji, posmatrajući jedinstvene operativne obrasce koji razlikuju Storm-1977 od drugih hakera kriptomajnovanja.
Analiza lanca napada otkrila je sofisticirane tehnike dizajnirane da izbjegnu otkrivanje uz maksimalno korišćenje resursa ugroženih okruženja.
Mehanizam infekcije i tehnička analiza
Primarni vektor infekcije koji koristi Storm-1977 vrti se oko CLI alata AzureChecker.exe, koji čini kamen temeljac njihovih operacija raspršivanja lozinki.
Ovaj alat je uočen kako se povezuje na komandni i kontrolni server na sac-auth[.]nodefunction[.]vip, sa kojeg je preuzimao AES šifrovane podatke koji sadrže informacije o ciljanom nalogu.
.webp)
Funkcionalnost alata uključuje mogućnost obrade eksterne datoteke pod nazivom “accounts.txt” koja sadrži kombinacije korisničkog imena i lozinke za pokušaje autentifikacije.
Slijed zaraze počinje kada alat AzureChecker dešifruje preuzetu listu ciljeva i sistematski testira kredencijale protiv više zakupaca oblaka.
Tipično izvođenje alata može ličiti na:-
AzureChecker.exe -i accounts.txt -o results.json -t 30Ova naredba daje upute alatu da koristi kredencijale iz datoteke accounts.txt, daje uspješne autentifikacije u results.json i koristi vremensko ograničenje od 30 sekundi između pokušaja izbjegavanja aktiviranja sigurnosnih upozorenja na osnovu brzine provjere autentičnosti.
Kada se dobiju valjani akreditivi, operateri Storm-1977 koriste naloge gostiju da kreiraju nove grupe resursa unutar ugrožene pretplate.
Napadači su demonstrirali sofisticirano poznavanje Kubernetes okruženja, kreirajući kontejnere sa konfiguracijama posebno dizajniranim da maksimiziraju efikasnost kriptomajnovanja uz minimiziranje šanse za otkrivanje putem normalnih kanala za praćenje .
Ovdje napadi na kontejnerska okruženja mogu poticati iz više vektora, s kompromitovanim nalozima koji predstavljaju jednu od primarnih površina napada koje je iskoristila Oluja-1977.
Izvor: CyberSecurityNews