Siloscape es el nombre del primer malware conocido dirigido exclusivamente a contenedores de Windows Server con la intención de infectar clústeres de Kubernetes en entornos de nube..
El malware fue descubierto por el investigador de seguridad de Palo Alto Unit 42, Daniel Prizmant.:
En marzo 2021, Descubrí el primer malware conocido dirigido a contenedores de Windows, un desarrollo que no es sorprendente dado el aumento masivo en la adopción de la nube en los últimos años. Llamé al malware Siloscape (suena como un escape de silo) porque su objetivo principal es escapar del contenedor, y en Windows esto se implementa principalmente mediante un silo de servidor, dijo en su publicación.
Una mirada al software malicioso Siloscape
En cuanto a cuál es el propósito de Siloscape, el malware tiene como objetivo abrir una puerta trasera en clústeres de Kubernetes mal configurados y ejecutar contenedores maliciosos como cryptojackers. Además, el malware está "muy ofuscado,"Y como se dirige a clústeres completos en lugar de contenedores individuales, su impacto puede ser bastante desastroso.
“A diferencia de otros contenedores dirigidos a malware, que se centran principalmente en el cryptojacking, Siloscape en realidad no hace nada que pueda dañar el clúster por sí solo. En lugar, se centra en no ser detectado ni rastreable y abre una puerta trasera al clúster,"Prizmant dijo.
“Poner en peligro un clúster completo es mucho más grave que comprometer un contenedor individual, ya que un clúster podría ejecutar múltiples aplicaciones en la nube, mientras que un contenedor individual generalmente ejecuta una sola aplicación en la nube,Prizmant explicó en su informe.. El malware Siloscape podría permitir a un atacante robar información crítica de una organización., como nombres de usuario y contraseñas, confidencial, archivos internos, o incluso bases de datos completas alojadas en el clúster comprometido.
Los escenarios de ataque también incluyen ransomware, donde los archivos de una organización pueden ser retenidos como rehenes, o violación de entornos de desarrollo o prueba en ataques a la cadena de suministro de software. El último ataque es bastante probable., a medida que un número cada vez mayor de empresas se están trasladando a la nube, usando clústeres de Kubernetes como sus entornos de prueba.
En cuanto a detalles técnicos, el malware Siloscape utiliza el proxy Tor y un dominio .onion para conectarse a su servidor C2 de forma anónima. Unidad 42 identificado 23 víctimas activas de Siloscape. También, su servidor estaba siendo utilizado para alojar 313 usuarios en total , lo que indica que el malware era una pequeña parte de una operación más grande. El investigador también pudo establecer que esta campaña en particular había estado activa durante más de un año..
Cómo mitigar el malware Siloscape
Ante todo, los administradores deben asegurarse de que su clúster de Kubernetes esté configurado de forma segura. Cabe destacar que un clúster de Kubernetes seguro no será tan vulnerable al malware Siloscape., ya que los privilegios de los nodos no serán suficientes para crear nuevas implementaciones, Prizmant concluyó.
Cryptojacking Malware dirigido a Kubernetes y Docker
El año pasado, Operadores de criptominería TeamTNT estaban apuntando a AWS (Amazon Web Services) credenciales e instalaciones de Kubernetes. El malware podría escanear los servidores infectados en busca de credenciales de AWS. En caso de que los sistemas Docker y Kubernetes comprometidos se estuvieran ejecutando en AWS, el grupo de malware buscaría ~ / .aws / credentials y ~ / .aws / config. Entonces, copiaría y cargaría los archivos en su servidor de comando y control.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: