Ένα νέο malware που είναι ενεργό για περισσότερο από ένα χρόνο και ονομάζεται Siloscape θέτει σε κίνδυνο τα containers των Windows για να παραβιάσει τα clusters Kubernetes με τον τελικό στόχο να τους ανοίξει backdoor και να ανοίξει το δρόμο για τους επιτιθέμενους να τα κακοποιήσουν σε άλλες κακόβουλες δραστηριότητες.
Δείτε επίσης: BlackCocaine ransomware: Το νέο malware στο τοπίο των απειλών
Το Kubernetes, που αναπτύχθηκε αρχικά από την Google και διατηρείται επί του παρόντος από το Cloud Native Computing Foundation, είναι ένα σύστημα ανοιχτού κώδικα για την αυτοματοποίηση της ανάπτυξης, κλιμάκωσης και διαχείρισης containerized εφαρμογών.
Οργανώνει app containers σε pods, nodes και clusters, με πολλαπλά nodes σχηματίζοντας clusters που διαχειρίζεται ένα κύριο που συντονίζει εργασίες που σχετίζονται με cluster, όπως κλιμάκωση ή ενημέρωση εφαρμογών.
Δείτε επίσης: DoJ ΗΠΑ: Κατηγορεί Λετονή για την ανάπτυξη του Trickbot malware
Το malware, που ονομάστηκε Siloscape από τον ερευνητή ασφαλείας Daniel Prizmant αρχικά στοχεύει τα containers των Windows, εκμεταλλεύεται γνωστά τρωτά σημεία που επηρεάζουν τους web servers και τις βάσεις δεδομένων με τελικό στόχο τα παραβιασμένα Kubernetes nodes και τα “backdooring clusters”.
Μόλις θέσει σε κίνδυνο τους web servers, το Siloscape χρησιμοποιεί διάφορες τακτικές container-διαφυγής για να επιτύχει εκτέλεση κώδικα στον υποκείμενο node Kubernetes.
Τα παραβιασμένα nodes στη συνέχεια ερευνώνται για credentials που επιτρέπουν στο malware να εξαπλωθεί σε άλλα nodes στο cluster Kubernetes.
Στο τελικό στάδιο της μόλυνσης, το malware δημιουργεί κανάλια επικοινωνίας με το command-and-control (C2) server μέσω IRC μέσω του ανώνυμου δικτύου επικοινωνίας Tor και “ακούει” εισερχόμενες εντολές από τα κύρια.
Αφού απέκτησε πρόσβαση στον C2 server του malware, ο Prizmant μπόρεσε να εντοπίσει 23 ενεργά θύματα και διαπίστωσε ότι ο server φιλοξενεί συνολικά 313 χρήστες, υπονοώντας ότι το Siloscape είναι μόνο ένα μικρό μέρος μιας πολύ μεγαλύτερης καμπάνιας.
Δείτε επίσης: SkinnyBoy: Το νέο malware που χρησιμοποιεί η ρωσική APT28 για να παραβιάσει οργανισμούς
Εκθέτει τα θύματα σε ransomware, επιθέσεις αλυσίδας εφοδιασμού
Ενώ τα περισσότερα malware που στοχεύουν σε περιβάλλοντα cloud επικεντρώνονται στο cryptojacking και στην κατάχρηση των μολυσμένων συστημάτων για την εκκίνηση επιθέσεων DDoS, το Siloscape είναι κάτι εντελώς διαφορετικό.
Πρώτα απ ‘όλα, καταβάλλει κάθε δυνατή προσπάθεια για να αποφύγει τον εντοπισμό, αποφεύγοντας τυχόν ενέργειες που θα μπορούσαν να ειδοποιήσουν τους ιδιοκτήτες των παραβιασμένων clusters για την επίθεση, συμπεριλαμβανομένου του cryptojacking.
Στόχος του είναι to backdooring των clusters Kubernetes, τα οποία ανοίγουν το δρόμο στους χειριστές για να κάνουν κατάχρηση της παραβιασμένης υποδομής cloud για ένα ευρύτερο φάσμα κακόβουλων ενεργειών, όπως κλοπή credentials, data exfiltration, επιθέσεις ransomware και ακόμη και εξαιρετικά καταστροφικές επιθέσεις αλυσίδας εφοδιασμού.
Πηγή πληροφοριών: bleepingcomputer.com
