Otkriven prvi malware koji napada Windows kontejnere

Tvrtka za računalnu sigurnost Unit 42, otkrila je potpuno novi tip zloćudnog softvera pod nazivom Siloscape, koji predstavlja prvi malware koji je specijalno dizajniran za napade na Kubernetes klastere u okruženju oblaka napadima na Windows Server kontejnere.

Daniel Prizmant, istraživač tvrtke Unit 42 kaže da je glavna svrha Siloscapea otvranje stražnjih vrata u loše konfiguriranim Kubernetes klasterima kako bi pokrenuo maliciozne kontejnere.

Siloscape je prvi put otkriven u ožujku 2021. godine i koristi brojne tehnike, uključujući targetiranje uobičajenih aplikacija u oblaku poput web poslužitelja. Prvo se učvršćuje poznatim ranjivostima, a zatim izbija iz kontejnera te postiže daljinsko izvršavanje koda na osnovnom čvoru.

Unit 42 objašnjava da Siloscape izbija iz spremnika imitirajući glavni thread CExecSvc.exe i primjenjujući NtSetInformationSymbolicLink na svježe uspostavljenu simboličku vezu. Da bi to učinio, postavlja svoj lokalni X-pogon u spremniku na C disk hosta.

Nakon ovog pristupa, zlonamjerni softver pokušava se proširiti kroz klaster zlouporabom vjerodajnica čvora prije uspostavljanja anonimne veze s njegovim poslužiteljem za upravljanje i upravljanje (C2) putem Tor proxyja. Nakon toga izdaje daljnje upute, poput kriptoizgrađivanja, pa čak i eksfiltraciju osjetljivih podataka iz Kubernetesovih aplikacija.

Unit 42 kaže da je otkrio 23 aktivne žrtve nakon što je dobio pristup C2 poslužitelju, koji je imao ukupno 313 korisnika.

Za razliku od drugog malwarea za oblak koji se uglavnom fokusira na resource hijacking i denial of service (DoS), Siloscape nema izričit cilj. Umjesto toga, stvara si stražnji pristup za sve vrste malicioznih aktivnosti.

Kako bi se zaštitili od Siloscapea, administratori bi se prema riječima Unita 42 trebali osigurati da je Kubernetes klaster pravilno i sigurno konfiguriran.