Siloscape-Malware verfolgt Kubernetes-Cluster

Cyberkriminelle haben sich im vergangenen Jahr stark auf Kubernetes-Cluster konzentriert. Sie haben mehrere groß angelegte Kampagnen und Malware-Familien gestartet, die auf Kubernetes-Cluster abzielen. Die neueste Malware, die diesen Ansatz verfolgt, heißt Siloscape. Diese Malware hat einen ziemlich interessanten Ansatz, wenn es darum geht, Maschinen zu infizieren. Nach dem Einpflanzen verbindet es sich mit einem TOR-basierten Kontrollserver, der verwendet wird, um Daten zu exfiltrieren, die Implantationsbefehle zu füttern und mehr.

Die genaue Art von Kubernetes-Clustern, auf die es abzielt, sind Windows-Container – es verlässt sich auf ungepatchte Fehler und Schwachstellen, um die volle Kontrolle über das kompromittierte Netzwerk zu erlangen. Es versucht auch, Schwachstellen in verschiedenen Serveranwendungen und Datenbanken zu finden, um das Beste aus seinem Angriff herauszuholen. Sein Hauptaugenmerk liegt auf Schwachstellen, die Remote Code Execution (RCE) ermöglichen, da dies ihm die Möglichkeit geben würde, alle möglichen Aufgaben auf dem infizierten Computer auszuführen.

Eine der bemerkenswerten Eigenschaften von Siloscape Malware ist, dass sie stark verschleiert ist, wahrscheinlich um Malware-Analysen und automatische Malware-Erkennungs-Engines abzuschrecken. Dies macht die Aufgabe für Forscher natürlich nicht unmöglich – sie verbringen nur mehr Zeit damit, den Code der Malware zurückzuentwickeln. Bisher hat die Siloscape-Malware insgesamt über 300 Opfer infiziert, und ab Juni 2021 gibt es über 20 aktive Implantate.

Benutzer können ihre Server vor der Siloscape-Malware schützen, indem sie alle Sicherheitspatches auf die zugrunde liegende Software und Dienste anwenden sowie aktuelle Antivirensoftware verwenden, um ihr Netzwerk zu schützen.