Siloscape-malware gaat achter Kubernetes-clusters aan

Cybercriminelen zijn het afgelopen jaar sterk gericht geweest op Kubernetes-clusters. Ze hebben verschillende grootschalige campagnes en malwarefamilies ontketend, die zich richten op Kubernetes-clusters. De nieuwste malware die deze aanpak toepast, wordt Siloscape genoemd. Deze malware heeft een nogal interessante benadering als het gaat om het infecteren van machines. Eenmaal geplant, maakt het verbinding met een op TOR gebaseerde besturingsserver, die wordt gebruikt om gegevens te exfiltreren, de implantaatopdrachten te geven en meer.

Het exacte type Kubernetes-clusters waarop het zich richt, zijn Windows-containers - het vertrouwt op niet-gepatchte bugs en kwetsbaarheden om volledige controle over het aangetaste netwerk te krijgen. Het probeert ook kwetsbaarheden in verschillende serverapplicaties en databases te vinden om het meeste uit zijn aanval te halen. De primaire focus zijn kwetsbaarheden die Remote Code Execution (RCE) mogelijk maken, omdat dit het de mogelijkheid zou geven om allerlei soorten taken op de geïnfecteerde machine uit te voeren.

Een van de opvallende kenmerken van Siloscape Malware is dat het zwaar verduisterd is, waarschijnlijk in een poging om malware-analyse en automatische malwaredetectie-engines af te schrikken. Dit maakt de taak natuurlijk niet onmogelijk voor onderzoekers - het zorgt er alleen voor dat ze meer tijd besteden aan het reverse-engineeren van de malwarecode. Tot nu toe heeft de Siloscape-malware in totaal meer dan 300 slachtoffers geïnfecteerd en zijn er vanaf juni 2021 meer dan 20 actieve implantaten.

Gebruikers kunnen hun servers beschermen tegen de Siloscape Malware door alle beveiligingspatches toe te passen op onderliggende software en services, en door up-to-date antivirussoftware te gebruiken om hun netwerk te beveiligen.