Ένα νέο malware που είναι ενεργό για περισσότερο από ένα χρόνο και ονομάζεται Siloscape θέτει σε κίνδυνο τα containers των Windows για να παραβιάσει τα clusters Kubernetes με τον τελικό στόχο να τους ανοίξει backdoor και να ανοίξει το δρόμο για τους επιτιθέμενους να τα κακοποιήσουν σε άλλες κακόβουλες δραστηριότητες.
Δείτε επίσης:
BlackCocaine ransomware: Το νέο malware στο τοπίο των απειλών
Το Kubernetes, που αναπτύχθηκε αρχικά από την Google και διατηρείται επί του παρόντος από το Cloud Native Computing Foundation, είναι ένα
σύστημα
ανοιχτού κώδικα για την
αυτοματοποίηση
της ανάπτυξης, κλιμάκωσης και διαχείρισης containerized εφαρμογών.
Οργανώνει app containers σε pods, nodes και clusters, με πολλαπλά nodes σχηματίζοντας clusters που διαχειρίζεται ένα κύριο που συντονίζει εργασίες που σχετίζονται με cluster, όπως κλιμάκωση ή
ενημέρωση
εφαρμογών.
Δείτε επίσης:
DoJ ΗΠΑ: Κατηγορεί Λετονή για την
ανάπτυξη
του Trickbot malware
Το malware, που ονομάστηκε Siloscape από τον ερευνητή
ασφαλείας
Daniel Prizmant αρχικά στοχεύει τα containers των Windows, εκμεταλλεύεται γνωστά τρωτά σημεία που επηρεάζουν τους
web servers
και τις βάσεις δεδομένων με τελικό στόχο τα παραβιασμένα Kubernetes nodes και τα “backdooring clusters”.
Μόλις θέσει σε κίνδυνο τους web servers, το Siloscape χρησιμοποιεί διάφορες τακτικές container-διαφυγής για να επιτύχει εκτέλεση κώδικα στον υποκείμενο node Kubernetes.
Τα παραβιασμένα nodes στη συνέχεια ερευνώνται για
credentials
που επιτρέπουν στο malware να εξαπλωθεί σε άλλα nodes στο cluster Kubernetes.
Στο τελικό στάδιο της μόλυνσης, το malware δημιουργεί
κανάλια
επικοινωνίας με το command-and-control (C2) server μέσω IRC μέσω του ανώνυμου δικτύου επικοινωνίας
Tor
και “ακούει” εισερχόμενες εντολές από τα κύρια.
Αφού απέκτησε πρόσβαση στον C2 server του malware, ο Prizmant μπόρεσε να εντοπίσει 23 ενεργά
θύματα
και διαπίστωσε ότι ο server φιλοξενεί συνολικά 313
χρήστες
, υπονοώντας ότι το Siloscape είναι μόνο ένα μικρό μέρος μιας πολύ μεγαλύτερης καμπάνιας.
Δείτε επίσης:
SkinnyBoy: Το νέο malware που χρησιμοποιεί η ρωσική APT28 για να παραβιάσει οργανισμούς
Εκθέτει τα
θύματα
σε ransomware,
επιθέσεις
αλυσίδας εφοδιασμού
Ενώ τα περισσότερα malware που στοχεύουν σε περιβάλλοντα cloud επικεντρώνονται στο
cryptojacking
και στην
κατάχρηση
των μολυσμένων συστημάτων για την εκκίνηση επιθέσεων
DDoS
, το Siloscape είναι κάτι εντελώς διαφορετικό.
Πρώτα απ ‘όλα, καταβάλλει κάθε δυνατή προσπάθεια για να αποφύγει τον εντοπισμό, αποφεύγοντας τυχόν ενέργειες που θα μπορούσαν να ειδοποιήσουν τους ιδιοκτήτες των παραβιασμένων clusters για την
επίθεση
, συμπεριλαμβανομένου του
cryptojacking
.
Στόχος του είναι to backdooring των clusters Kubernetes, τα οποία ανοίγουν το δρόμο στους χειριστές για να κάνουν
κατάχρηση
της παραβιασμένης υποδομής cloud για ένα ευρύτερο φάσμα κακόβουλων ενεργειών, όπως
κλοπή
credentials
, data exfiltration,
επιθέσεις
ransomware και ακόμη και εξαιρετικά καταστροφικές
επιθέσεις
αλυσίδας εφοδιασμού.
Πηγή πληροφοριών: bleepingcomputer.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.