Siloscape Malware går efter Kubernetes-klynger

Cyberkriminelle har været stærkt fokuseret på Kubernetes-klynger det sidste år. De har frigivet flere store kampagner og malware-familier, der er målrettet mod Kubernetes-klynger. Den seneste malware, der benytter denne tilgang, kaldes Siloscape. Denne malware har en ret interessant tilgang, når det kommer til inficering af maskiner. Når den er plantet, opretter den forbindelse til en TOR-baseret kontrolserver, der bruges til at exfiltrere data, føde implantatkommandoer og mere.

Den nøjagtige type Kubernetes-klynger, den er målrettet mod, er Windows-containere - den er afhængig af upatchede fejl og sårbarheder for at få fuld kontrol over det kompromitterede netværk. Det forsøger også at finde sårbarheder i forskellige serverapplikationer og databaser for at få mest muligt ud af sit angreb. Dets primære fokus er sårbarheder, der muliggør Remote Code Execution (RCE), da dette giver det muligheden for at udføre alle mulige opgaver på den inficerede maskine.

Et af Siloscape Malwares bemærkelsesværdige træk er, at det er stærkt tilsløret, sandsynligvis i et forsøg på at afskrække malware-analyse og automatisk detektering af malware. Selvfølgelig gør dette ikke opgaven umulig for forskere - det får dem bare til at bruge mere tid på at forsøge at reverse engineering af malware-koden. Indtil videre har Siloscape Malware i alt inficeret over 300 ofre, og der er over 20 aktive implantater fra juni 2021.

Brugere kan beskytte deres servere mod Siloscape Malware ved at anvende alle sikkerhedsrettelser på underliggende software og tjenester samt ved at bruge opdateret antivirussoftware til at holde deres netværk sikkert.