Siloscape Malware s'attaque aux clusters Kubernetes
Les cybercriminels se sont fortement concentrés sur les clusters Kubernetes au cours de la dernière année. Ils ont déclenché plusieurs campagnes à grande échelle et familles de logiciels malveillants, qui ciblent les clusters Kubernetes. Le dernier malware à adopter cette approche s'appelle Siloscape. Ce malware a une approche assez intéressante lorsqu'il s'agit d'infecter des machines. Une fois planté, il se connecte à un serveur de contrôle basé sur TOR, qui est utilisé pour exfiltrer les données, alimenter les commandes d'implant, etc.
Le type exact de clusters Kubernetes qu'il cible sont des conteneurs Windows - il s'appuie sur des bogues et des vulnérabilités non corrigés pour obtenir un contrôle total sur le réseau compromis. Il tente également de trouver des vulnérabilités dans diverses applications serveur et bases de données afin de tirer le meilleur parti de son attaque. Son objectif principal est les vulnérabilités qui permettent l'exécution de code à distance (RCE) car cela lui donnerait la possibilité d'effectuer toutes sortes de tâches sur la machine infectée.
L'une des caractéristiques notables de Siloscape Malware est qu'il est fortement obscurci, probablement dans le but de dissuader l'analyse des logiciels malveillants et les moteurs de détection automatique des logiciels malveillants. Bien sûr, cela ne rend pas la tâche impossible pour les chercheurs – cela leur fait simplement passer plus de temps à essayer de rétro-concevoir le code du malware. Jusqu'à présent, le logiciel malveillant Siloscape a infecté plus de 300 victimes au total, et il y avait plus de 20 implants actifs en juin 2021.
Les utilisateurs peuvent protéger leurs serveurs contre le logiciel malveillant Siloscape en appliquant tous les correctifs de sécurité aux logiciels et services sous-jacents, ainsi qu'en utilisant un logiciel antivirus à jour pour assurer la sécurité de leur réseau.