Siloscape è il nome del primo malware noto che prende di mira contenitori interamente Windows Server con l'intenzione di infettare i cluster Kubernetes in ambienti cloud.
Il malware è stato scoperto dal ricercatore di sicurezza di Palo Alto Unit 42, Daniel Prizmant:
A marzo 2021, Ho scoperto il primo malware noto che prende di mira i contenitori Windows, uno sviluppo che non sorprende, data la massiccia ondata di adozione del cloud negli ultimi anni. Ho chiamato il malware Siloscape (sembra una fuga dal silo) perché il suo obiettivo primario è quello di sfuggire al contenitore, e in Windows questo è implementato principalmente da un silo di server, ha detto nella sua pubblicazione.
Uno sguardo al malware Siloscape
Per quanto riguarda lo scopo di Siloscape, il malware mira ad aprire una backdoor in cluster Kubernetes mal configurati ed eseguire contenitori dannosi come cryptojacker. Inoltre, il malware è “fortemente offuscato,” e poiché prende di mira interi cluster anziché singoli contenitori, il suo impatto può essere piuttosto disastroso.
“A differenza di altri contenitori di targeting per malware, che sono per lo più focalizzati sul cryptojacking, Siloscape in realtà non fa nulla che possa danneggiare il cluster da solo. Invece, si concentra sull'essere non rilevato e non rintracciabile e apre una backdoor al cluster,Prizmant ha detto.
“Compromettere un intero cluster è molto più grave che compromettere un singolo container, poiché un cluster potrebbe eseguire più applicazioni cloud mentre un singolo contenitore di solito esegue una singola applicazione cloud,"Prizmant ha spiegato nel suo rapporto. Il malware Siloscape potrebbe consentire a un utente malintenzionato di rubare informazioni critiche da un'organizzazione, come nomi utente e password, confidenziale, file interni, o anche interi database ospitati nel cluster compromesso.
Gli scenari di attacco includono anche il ransomware, dove i file di un'organizzazione possono essere tenuti in ostaggio, o violazione degli ambienti di sviluppo o test negli attacchi alla catena di fornitura del software. Quest'ultimo attacco è abbastanza probabile, poiché un numero crescente di aziende si sta spostando verso il cloud, utilizzando i cluster Kubernetes come ambienti di test.
Correlata: Microsoft e Google's Cloud Infrastructure Abused by Hackers in Phishing Emails
In termini di dettagli tecnici, il malware Siloscape utilizza il proxy Tor e un dominio .onion per connettersi al suo server C2 in modo anonimo. Unità 42 identificato 23 vittime attive di Siloscape. Anche, il suo server veniva utilizzato per ospitare 313 utenti in totale , indicando che il malware era una piccola parte di un'operazione più ampia. Il ricercatore è stato anche in grado di stabilire che questa particolare campagna era attiva da oltre un anno.
Come mitigare il malware Siloscape
Prima di tutto, gli amministratori dovrebbero assicurarsi che il loro cluster Kubernetes sia configurato in modo sicuro. È interessante notare che un cluster Kubernetes protetto non sarà così vulnerabile al malware Siloscape, poiché i privilegi dei nodi non saranno sufficienti per creare nuove implementazioni, Prizmant ha concluso.
Malware di cryptojacking che prende di mira Kubernetes e Docker
L'anno scorso, Operatori di cryptomining TeamTNT stavano prendendo di mira AWS (Amazon Web Services) credenziali e installazioni Kubernetes. Il malware potrebbe scansionare i server infetti per le credenziali AWS. Nel caso in cui i sistemi Docker e Kubernetes compromessi fossero in esecuzione su AWS, il gruppo malware cercherà ~/.aws/credentials e ~/.aws/config. Poi, copia e carica i file sul suo server di comando e controllo.