← Voltar ao blog

78+ Contas Microsoft Comprometidas em Massiva Campanha de Password Spray no Azure CLI

Pesquisadores descobriram um ataque automatizado em larga escala de password spray direcionado ao Azure CLI da Microsoft que comprometeu pelo menos 78 contas em 81 milhões de tentativas de login. O ataque, originário de um intervalo IPv6 controlado pela LSHIY LLC, destaca ameaças persistentes às credenciais de infraestrutura em nuvem.

TL;DR

  • Pelo menos 78 contas Microsoft comprometidas em ataque contínuo de password spray no Azure CLI
  • 81+ milhões de tentativas de login detectadas entre 12–26 de junho a partir do intervalo IPv6 2a0a:d683::/32
  • Infraestrutura de ataque rastreada até LSHIY LLC (AS32167), um provedor de internet
  • Organizações devem aplicar MFA, monitorar logs de autenticação do CLI e rotacionar credenciais

Pesquisadores de segurança da Huntress identificaram uma campanha automatizada em larga escala de password spray direcionada à interface de linha de comando (CLI) do Azure da Microsoft. Entre meados de junho e final de junho, atacantes lançaram mais de 81 milhões de tentativas de login a partir de um intervalo de endereços IPv6 controlado pelo provedor de infraestrutura de internet LSHIY LLC, comprometendo com sucesso pelo menos 78 contas de usuários.

Ataques de password spray diferem dos métodos tradicionais de força bruta ao tentar senhas comuns em muitas contas em vez de esgotar senhas em um único alvo. Essa abordagem evita proteções de limitação de taxa e bloqueio de conta, tornando-a particularmente eficaz contra serviços em nuvem. O ataque ao Azure CLI demonstra como atores de ameaça continuam direcionando infraestrutura em nuvem conforme as organizações migram cada vez mais cargas de trabalho para o Azure.

Escala do Ataque e Infraestrutura

  • 81+ milhões de tentativas de login registradas em um período de 15 dias (12–26 de junho)
  • Tráfego de ataque originário do intervalo IPv6 2a0a:d683::/32 controlado pela LSHIY LLC (AS32167)
  • Pelo menos 78 contas Microsoft comprometidas com sucesso
  • Padrão de ataque contínuo e automatizado indica ator de ameaça organizado ou operação de botnet

Recomendações Defensivas para Organizações

  • Aplicar autenticação multifator (MFA) em todas as contas do Azure CLI e administrativas
  • Monitorar e alertar sobre tentativas de autenticação falhadas e padrões de login incomuns
  • Implementar lista de permissões de IP ou restrições geográficas onde operacionalmente viável
  • Rotacionar credenciais para qualquer conta com atividade suspeita; auditar logs de uso recente do CLI
  • Considerar desabilitar protocolos de autenticação legados e exigir métodos de autenticação modernos

Implicações Mais Amplas de Segurança em Nuvem

  • Credenciais do Azure CLI são alvos de alto valor devido ao acesso de infraestrutura e níveis de privilégio
  • Ataques de password spray permanecem eficazes contra organizações com higiene de credenciais fraca
  • Provedores de serviços em nuvem enfrentam direcionamento persistente; defensores devem assumir atividade de ataque contínua
  • Equipes de resposta a incidentes devem estabelecer telemetria de autenticação de linha de base para detectar anomalias

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

78+ Contas Microsoft Comprometidas em Massiva Campanha de Password Spray no Azure CLI — Agent Breach Blog | Agent Breach