Malware Siloscape vai depois dos clusters do Kubernetes

Os cibercriminosos têm se concentrado fortemente nos clusters do Kubernetes no ano passado. Eles lançaram várias campanhas em grande escala e famílias de malware, que têm como alvo os clusters do Kubernetes. O malware mais recente a adotar essa abordagem é chamado Siloscape. Esse malware tem uma abordagem bastante interessante quando se trata de infectar máquinas. Depois de plantado, ele se conecta a um servidor de controle baseado em TOR, que está sendo usado para exfiltrar dados, alimentar os comandos do implante e muito mais.

O tipo exato de clusters Kubernetes que ele visa são contêineres do Windows - ele depende de bugs não corrigidos e vulnerabilidades para obter controle total sobre a rede comprometida. Ele também tenta encontrar vulnerabilidades em vários aplicativos de servidor e bancos de dados para tirar o máximo proveito de seu ataque. Seu foco principal são as vulnerabilidades que permitem a Execução Remota de Código (RCE), pois isso lhe concederia a capacidade de realizar todos os tipos de tarefas na máquina infectada.

Uma das características notáveis do Siloscape Malware é que ele é fortemente ofuscado, provavelmente em uma tentativa de impedir a análise de malware e os mecanismos de detecção automática de malware. Claro, isso não torna a tarefa impossível para os pesquisadores - apenas os faz gastar mais tempo tentando fazer a engenharia reversa do código do malware. Até agora, o Malware Siloscape já infectou mais de 300 vítimas no total, e há mais de 20 implantes ativos em junho de 2021.

Os usuários podem proteger seus servidores do Malware Siloscape aplicando todos os patches de segurança ao software e serviços subjacentes, bem como ao usar um software antivírus atualizado para manter sua rede segura.