Złośliwe oprogramowanie Siloscape

Siloscape to niezwykłe złośliwe oprogramowanie, które ma na celu dotarcie do klastrów Kubernetes. Zazwyczaj tego typu zagrożenie koncentruje się na systemach Linux, ponieważ jest to najczęściej używany system operacyjny (system operacyjny) do zarządzania aplikacjami i środowiskami w chmurze. Siloscape jest jednak pierwszym zaobserwowanym zagrożeniem złośliwym oprogramowaniem, które zostało stworzone specjalnie w celu złamania zabezpieczeń kontenerów systemu Windows. Aktor zagrożenia spróbuje następnie utworzyć backdoora w klastrach Kubernetes, które nie zostały odpowiednio skonfigurowane pod kątem uruchamiania złośliwych kontenerów.

Funkcjonalność Siloscape Malware

Siloscape jest rozpowszechniany w postaci pliku o nazwie „CloudMalware.exe”. Zagrożenie wykorzystuje znane luki w zabezpieczeniach, aby uzyskać nieautoryzowany dostęp do serwerów, stron internetowych i baz danych. Według badaczy infosec z Palo Alto Networks Unit 42, którzy przeanalizowali złośliwe oprogramowanie, Siloscape skłania się ku korzystaniu z serwera zamiast izolacji Hyper-V. Po umieszczeniu w zaatakowanym systemie zagrożenie zainicjuje różne techniki ucieczki kontenera systemu Windows w celu ustanowienia zdalnego wykonania kodu (RCE) na podstawowym węźle kontenera. Jedna z takich metod polega na tym, że Siloscape przyjmuje tożsamość usługi obrazu kontenera SExecSvc.exe, która umożliwia złośliwemu oprogramowaniu otrzymywanie uprawnień SeTcbPrivilege.

Ostatecznie, jeśli Siloscape odniesie sukces, będzie w stanie tworzyć złośliwe kontenery, zbierać dane z aplikacji aktywnych w klastrze naruszeń lub wdrażać kryptominera, który przejmie zasoby sprzętowe systemu, aby potajemnie generować monety wybranej kryptowaluty.

Zwiększona koncentracja na ukryciu

Siloscape jest mocno zaciemniony, aby uniknąć wykrycia przez środki zaradcze i utrudnić próby inżynierii wstecznej. Funkcje i nazwy modułów zagrożenia są odszyfrowywane tylko w czasie wykonywania, podczas gdy hasło do serwera Command-and-Control (C2, C&C) jest odszyfrowywane za pomocą pary kluczy zakodowanych na stałe. W rzeczywistości każda instancja Siloscape używa innej pary kluczy, co sprawia, że różni się od innych plików binarnych zagrożeń.

Sięgając po swój serwer C2, SIloscape opiera się na proxy Tor i domenie '.onion'. Badacze z jednostki 42 uzyskali dostęp do serwera operacji i zdołali zidentyfikować 23 aktywne ofiary, łącznie 313 ofiar. Hakerzy zauważyli obecność z zewnątrz w ciągu kilku minut i szybko wyłączyli usługę pod tym adresem .onion.