近期，一个名为 Storm-1977 的黑客组织引起了广泛关注，该组织利用一款名为 AzureChecker 的自定义命令行界面（CLI）工具，对教育领域的云租户发起了大规模攻击，致使 200 多个容器被劫持，用于加密货币挖矿活动。

这些攻击主要针对云租户的薄弱环节，即密码安全和身份验证机制。黑客们先是运用密码喷洒技术，试图通过大量的弱密码组合来获取云环境的访问权限。一旦成功认证，他们便迅速在受感染的订阅中创建新的资源组，并部署了数百个专门配置用于加密货币挖矿的容器。

从已知信息来看，AzureChecker.exe 工具在这些攻击中扮演了关键角色。它会连接到攻击者的命令与控制服务器，下载包含目标账户信息的 AES 加密数据，并借助外部文件 “accounts.txt” 中的用户名和密码组合，对多个云租户进行系统性的认证尝试。例如，执行命令 “AzureChecker.exe -i accounts.txt -o results.json -t 30”，该工具就会使用 accounts.txt 文件中的凭证，将成功认证的结果输出到 results.json 文件，并设置 30 秒的超时时间，以此规避基于认证速度的安全警报。

微软威胁情报研究人员在日常威胁监测中发现了这一攻击活动，并通过分析攻击链发现，Storm-1977 的攻击手法具有高度的隐蔽性和效率。他们不仅展现出了对云基础设施，尤其是容器化环境的深刻理解，还能在短时间内完成大规模的容器部署，以实现对受感染资源的快速变现。这些容器经过精心配置，在提高挖矿效率的同时，还尽可能地降低了被常规监控手段发现的可能性。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！