微软威胁情报团队提出警告,他们观察到黑客在最近1年里,偏好利用不安全的工作负载对容器环境下手,利用命令行(CLI)工具AzureChecker.exe进行活动。

他们指出其中一起由黑客组织Storm-1977发起的密码泼洒(Password Spray)攻击行动为例,黑客锁定教育领域使用的云计算租户环境,利用AzureChecker.exe进行活动,从特定域名下载经AES算法处理的数据,解密后得到攻击的目标。黑客也运用AzureChecker.exe读取用于密码泼洒攻击的帐密数据列表文件accounts.txt,然后对目标租户发动攻击。

一旦攻击者得逞,就会通过访客账号创建资源群组,然后用于挖矿,微软看到黑客创建超过200个容器来牟利。

除此之外,微软也提及未使用的工作负载,很有可能遭到攻击者滥用。根据他们统计数据,过去1年有超过半数(51%)工作负载处于完全没有活动的状态,而有可能成为黑客攻击的媒介。