Siloscape Malware idzie po klastrach Kubernetes
W ciągu ostatniego roku cyberprzestępcy byli mocno skoncentrowani na klastrach Kubernetes. Uruchomili kilka dużych kampanii i rodzin złośliwego oprogramowania, których celem są klastry Kubernetes. Najnowsze złośliwe oprogramowanie, które stosuje to podejście, nazywa się Siloscape. To złośliwe oprogramowanie ma dość interesujące podejście, jeśli chodzi o infekowanie maszyn. Po posadzeniu łączy się z serwerem kontrolnym opartym na TOR, który jest używany do eksfiltracji danych, przekazywania poleceń implantacji i nie tylko.
Dokładny typ klastrów Kubernetes, na które jest przeznaczony, to kontenery Windows — opiera się na niezałatanych błędach i lukach w zabezpieczeniach, aby uzyskać pełną kontrolę nad zaatakowaną siecią. Próbuje również znaleźć luki w różnych aplikacjach serwerowych i bazach danych, aby jak najlepiej wykorzystać swój atak. Jego głównym celem są luki w zabezpieczeniach, które umożliwiają zdalne wykonanie kodu (RCE), ponieważ dałoby mu to możliwość wykonywania wszelkiego rodzaju zadań na zainfekowanej maszynie.
Jedną z godnych uwagi cech Siloscape Malware jest to, że jest mocno zaciemniony, prawdopodobnie w celu powstrzymania analizy złośliwego oprogramowania i automatycznych silników wykrywania złośliwego oprogramowania. Oczywiście nie uniemożliwia to badaczom wykonania zadania – po prostu sprawia, że spędzają więcej czasu na próbie inżynierii wstecznej kodu złośliwego oprogramowania. Jak dotąd Siloscape Malware zainfekowało łącznie ponad 300 ofiar, a na czerwiec 2021 r. istnieje ponad 20 aktywnych implantów.
Użytkownicy mogą chronić swoje serwery przed Siloscape Malware, stosując wszystkie poprawki bezpieczeństwa do podstawowego oprogramowania i usług, a także używając aktualnego oprogramowania antywirusowego, aby zapewnić bezpieczeństwo sieci.