I ricercatori di sicurezza informatica dell’Unità 42 di Palo Alto Networks hanno scoperto il primo malware, denominato “Siloscape”, che prende di mira i contenitori Windows per accedere ai cluster Kubernetes.
Siloscape è un malware fortemente offuscato il cui obiettivo principale è quello di sfuggire al contenitore e aprire una backdoor in cluster Kubernetes tramite i contenitori di Windows (utilizzando i contenitori del server e non Hyper-V) mal configurati per eseguire contenitori dannosi come cryptojacker e non solo.
Per connettersi in modo anonimo al proprio server di comando e controllo (C2) utilizzato dagli aggressori, Siloscape utilizza il proxy Tor e un dominio .onion
Il malware è caratterizzato da diversi comportamenti e tecniche:
- Prende di mira applicazioni cloud comuni come i server Web per l’accesso iniziale, utilizzando vulnerabilità note (“1 days”), presumibilmente quelle con un exploit funzionante in natura.
- Usa le tecniche di escape del contenitore di Windows per eseguire l’escape del contenitore e ottenere l’esecuzione del codice sul nodo sottostante.
- Tenta di abusare delle credenziali del nodo per diffondersi nel cluster.
- Si connette al suo server C2 utilizzando il protocollo IRC sulla rete Tor.
- Attende ulteriori comandi.
Questo malware può sfruttare le risorse di elaborazione in un cluster Kubernetes per il cryptojacking e potenzialmente estrarre dati sensibili da centinaia di applicazioni in esecuzione nei cluster compromessi.
Gli esperti di Palo Alto Networks hanno identificato 23 vittime attive di Siloscape e scoperto che il server veniva utilizzato per ospitare 313 utenti in totale. L’indagine sul server C2 ha mostrato che questo malware è solo una piccola parte di una campagna più ampia in corso da più di un anno.
https://unit42.paloaltonetworks.com/siloscape/
