Siloscape-skadelig programvare går etter Kubernetes-klynger
Nettkriminelle har vært sterkt fokusert på Kubernetes-klynger det siste året. De har sluppet løs flere store kampanjer og skadelige familier, som er rettet mot Kubernetes-klynger. Den siste skadelige programvaren som benyttet seg av denne tilnærmingen, heter Siloscape. Denne skadelige programvaren har en ganske interessant tilnærming når det gjelder å infisere maskiner. Når den er plantet, kobles den til en TOR-basert styringsserver, som brukes til å exfiltrere data, mate implantatkommandoene og mer.
Den nøyaktige typen Kubernetes-klynger den målretter mot er Windows-containere - den er avhengig av upatchede feil og sårbarheter for å få full kontroll over det kompromitterte nettverket. Den prøver også å finne sårbarheter i forskjellige serverapplikasjoner og databaser for å få mest mulig ut av angrepet. Dens primære fokus er sårbarheter som tillater Remote Code Execution (RCE), siden dette vil gi den muligheten til å utføre alle slags oppgaver på den infiserte maskinen.
Et av Siloscape Malwares bemerkelsesverdige trekk er at det er sterkt forvirret, sannsynligvis i et forsøk på å avskrekke malware-analyse og automatiske motorer for deteksjon av skadelig programvare. Selvfølgelig gjør dette ikke oppgaven umulig for forskere - det gjør dem bare til å bruke mer tid på å forsøke å omforme malware-koden. Så langt har Siloscape Malware infisert over 300 ofre totalt, og det er over 20 aktive implantater fra juni 2021.
Brukere kan beskytte serverne sine mot Siloscape Malware ved å bruke alle sikkerhetsoppdateringer på underliggende programvare og tjenester, samt ved å bruke oppdatert antivirusprogramvare for å holde nettverket sitt sikkert.