Siloscape Malware

Siloscape è un malware insolito che mira a raggiungere i cluster Kubernetes. Di solito, questo tipo di minaccia si concentra sui sistemi Linux in quanto è il sistema operativo (sistema operativo) più utilizzato quando si tratta di gestione di app e ambienti cloud. Siloscape, tuttavia, è la prima minaccia malware osservata creata appositamente per compromettere i contenitori di Windows. L'autore delle minacce proverà quindi a stabilire una backdoor nei cluster Kubernetes che non sono stati configurati in modo appropriato con l'obiettivo di eseguire contenitori dannosi.

Funzionalità malware di Siloscape

Siloscape è distribuito sotto forma di file denominato "CloudMalware.exe". La minaccia sfrutta vulnerabilità note per ottenere l'accesso non autorizzato a server, pagine Web e database. Secondo i ricercatori di infosec dell'Unità 42 di Palo Alto Networks che hanno analizzato il malware, Siloscape tende a utilizzare Server piuttosto che l'isolamento Hyper-V. Una volta stabilita sul sistema compromesso, la minaccia avvierà varie tecniche di fuga del contenitore Windows per stabilire l'esecuzione di codice remoto (RCE) sul nodo sottostante di un contenitore. Uno di questi metodi vede Siloscape assumere l'identità del servizio di immagine del contenitore SExecSvc.exe che consente al malware di ricevere i privilegi SeTcbPrivilege.

In definitiva, se Siloscape avrà successo, sarà in grado di creare contenitori dannosi, raccogliere dati dalle applicazioni attive sul cluster delle violazioni o distribuire un cryptominer che dirotta le risorse hardware del sistema per generare di nascosto monete di una criptovaluta scelta.

Maggiore attenzione alla furtività

Siloscape è fortemente offuscato per evitare il rilevamento da parte delle contromisure di sicurezza e ostacolare i tentativi di reverse engineering. Le funzioni della minaccia e i nomi dei moduli vengono deoffuscati solo in fase di runtime mentre la password per il server Command-and-Control (C2, C&C) viene decrittografata con una coppia di chiavi codificate. In effetti, ogni istanza di Siloscape utilizza una coppia di chiavi diversa che la rende così diversa dagli altri binari delle minacce.

Raggiunto il suo server C2, SIloscape si basa sul proxy Tor e su un dominio '.onion'. I ricercatori dell'Unità 42 sono riusciti ad accedere al server dell'operazione e sono riusciti a identificare 23 vittime attive per un totale di 313 vittime. Gli hacker hanno notato la presenza esterna in pochi minuti e hanno rapidamente reso inattivo il servizio a quell'indirizzo .onion.