Casa > Cyber ​​Notizie > Siloscape: il primo malware a prendere di mira i contenitori di Windows Server
CYBER NEWS

Siloscape: il primo malware a prendere di mira i contenitori di Windows Server

da   |  Last Update:  |  0 Commenti  

Siloscape- il primo malware a prendere di mira Windows Server Containers-sensorstechforum
Siloscape è il nome del primo malware noto che prende di mira contenitori interamente Windows Server con l'intenzione di infettare i cluster Kubernetes in ambienti cloud.

Il malware è stato scoperto dal ricercatore di sicurezza di Palo Alto Unit 42, Daniel Prizmant:

A marzo 2021, Ho scoperto il primo malware noto che prende di mira i contenitori Windows, uno sviluppo che non sorprende, data la massiccia ondata di adozione del cloud negli ultimi anni. Ho chiamato il malware Siloscape (sembra una fuga dal silo) perché il suo obiettivo primario è quello di sfuggire al contenitore, e in Windows questo è implementato principalmente da un silo di server, ha detto nella sua pubblicazione.

Uno sguardo al malware Siloscape

Per quanto riguarda lo scopo di Siloscape, il malware mira ad aprire una backdoor in cluster Kubernetes mal configurati ed eseguire contenitori dannosi come cryptojacker. Inoltre, il malware è “fortemente offuscato,” e poiché prende di mira interi cluster anziché singoli contenitori, il suo impatto può essere piuttosto disastroso.




“A differenza di altri contenitori di targeting per malware, che sono per lo più focalizzati sul cryptojacking, Siloscape in realtà non fa nulla che possa danneggiare il cluster da solo. Invece, si concentra sull'essere non rilevato e non rintracciabile e apre una backdoor al cluster,Prizmant ha detto.

“Compromettere un intero cluster è molto più grave che compromettere un singolo container, poiché un cluster potrebbe eseguire più applicazioni cloud mentre un singolo contenitore di solito esegue una singola applicazione cloud,"Prizmant ha spiegato nel suo rapporto. Il malware Siloscape potrebbe consentire a un utente malintenzionato di rubare informazioni critiche da un'organizzazione, come nomi utente e password, confidenziale, file interni, o anche interi database ospitati nel cluster compromesso.

Gli scenari di attacco includono anche il ransomware, dove i file di un'organizzazione possono essere tenuti in ostaggio, o violazione degli ambienti di sviluppo o test negli attacchi alla catena di fornitura del software. Quest'ultimo attacco è abbastanza probabile, poiché un numero crescente di aziende si sta spostando verso il cloud, utilizzando i cluster Kubernetes come ambienti di test.

Correlata: Microsoft e Google's Cloud Infrastructure Abused by Hackers in Phishing Emails

In termini di dettagli tecnici, il malware Siloscape utilizza il proxy Tor e un dominio .onion per connettersi al suo server C2 in modo anonimo. Unità 42 identificato 23 vittime attive di Siloscape. Anche, il suo server veniva utilizzato per ospitare 313 utenti in totale , indicando che il malware era una piccola parte di un'operazione più ampia. Il ricercatore è stato anche in grado di stabilire che questa particolare campagna era attiva da oltre un anno.

Come mitigare il malware Siloscape
Prima di tutto, gli amministratori dovrebbero assicurarsi che il loro cluster Kubernetes sia configurato in modo sicuro. È interessante notare che un cluster Kubernetes protetto non sarà così vulnerabile al malware Siloscape, poiché i privilegi dei nodi non saranno sufficienti per creare nuove implementazioni, Prizmant ha concluso.

Malware di cryptojacking che prende di mira Kubernetes e Docker

L'anno scorso, Operatori di cryptomining TeamTNT stavano prendendo di mira AWS (Amazon Web Services) credenziali e installazioni Kubernetes. Il malware potrebbe scansionare i server infetti per le credenziali AWS. Nel caso in cui i sistemi Docker e Kubernetes compromessi fossero in esecuzione su AWS, il gruppo malware cercherà ~/.aws/credentials e ~/.aws/config. Poi, copia e carica i file sul suo server di comando e controllo.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. L'operazione di crittografia di TeamTNT ruba le credenziali AWS A newly added feature in a previously known cryptomining operation...
  2. CVE-2019-5736 Linux Un difetto in Runc Consente di accesso non autorizzato Root CVE-2019-5736 è l'ennesima vulnerabilità di Linux scoperta nel core....
  3. Il server di distribuzioni Linux in migliori 2017 Gnu/Linux è uno dei principali sistemi operativi per server a causa....
  4. Firefox Add-On container interrompe Facebook monitoraggio Facebook Container is the name of a brand new add-on...
  5. CVE-2022-0492: Vulnerabilità del kernel Linux relativa all'escalation dei privilegi Una nuova vulnerabilità del kernel Linux ad alta gravità potrebbe essere stata sfruttata..
  6. DarkRadiation Ransomware prende di mira i container Linux e Docker DarkRadiation is a new ransomware that targets Linux and Docker...
  7. Rimuovere SERVER ransomware – Restore Files .server In questo articolo vi aiuterà a rimuovere SERVER ransomware in modo efficiente. Seguire...
  8. Il framework malware MATA può essere indirizzato a Windows, Linux, e macOS I ricercatori di sicurezza di Kaspersky Labs hanno recentemente rilevato un nuovo malware...

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo