Il malware Siloscape va dopo i cluster Kubernetes

I criminali informatici si sono fortemente concentrati sui cluster Kubernetes nell'ultimo anno. Hanno scatenato diverse campagne su larga scala e famiglie di malware, che prendono di mira i cluster Kubernetes. L'ultimo malware ad adottare questo approccio si chiama Siloscape. Questo malware ha un approccio piuttosto interessante quando si tratta di infettare le macchine. Una volta piantato, si connette a un server di controllo basato su TOR, che viene utilizzato per esfiltrare i dati, alimentare i comandi di impianto e altro ancora.

Il tipo esatto di cluster Kubernetes a cui si rivolge sono i contenitori Windows: si basa su bug e vulnerabilità senza patch per ottenere il pieno controllo sulla rete compromessa. Tenta inoltre di trovare vulnerabilità in varie applicazioni server e database per ottenere il massimo dal suo attacco. Il suo obiettivo principale sono le vulnerabilità che consentono l'esecuzione di codice remoto (RCE) poiché ciò gli garantirebbe la capacità di eseguire tutti i tipi di attività sulla macchina infetta.

Uno dei tratti notevoli di Siloscape Malware è che è fortemente offuscato, probabilmente nel tentativo di scoraggiare l'analisi del malware e i motori di rilevamento automatico del malware. Ovviamente, questo non rende il compito impossibile ai ricercatori, ma fa semplicemente passare loro più tempo a provare a decodificare il codice del malware. Finora, il malware Siloscape ha infettato oltre 300 vittime in totale e ci sono oltre 20 impianti attivi a giugno 2021.

Gli utenti possono proteggere i propri server dal malware Siloscape applicando tutte le patch di sicurezza al software e ai servizi sottostanti, nonché utilizzando software antivirus aggiornati per proteggere la rete.