Siloscape Malware

Por Mezo em Malware

Traduzir Para:

O Siloscape é um malware incomum que visa atingir os clusters do Kubernetes. Normalmente, esse tipo de ameaça se concentra nos sistemas Linux, pois é o sistema operacional mais amplamente usado quando se trata de gerenciamento de aplicativos e ambientes em nuvem. O Siloscape, no entanto, é a primeira ameaça de malware observada especificamente criada para comprometer os contêineres do Windows. O ator da ameaça tentará estabelecer uma porta dos fundos nos clusters do Kubernetes que não foram configurados adequadamente com o objetivo de executar contêineres maliciosos.

A Funcionalidade do Siloscape Malware

O Siloscape é distribuído na forma de um arquivo chamado 'CloudMalware.exe'. A ameaça explora vulnerabilidades conhecidas para obter acesso não autorizado a servidores, páginas da Web e bancos de dados. De acordo com os pesquisadores de Infosec da Unidade 42 da Palo Alto Networks que analisaram o malware, o Siloscape tende a usar o servidor em vez do isolamento do Hyper-V. Uma vez estabelecida no sistema comprometido, a ameaça iniciará várias técnicas de escape de contêiner do Windows para estabelecer a execução remota de código (RCE) no nó subjacente de um contêiner. Um desses métodos vê o Siloscape assumir a identidade do serviço de imagem de contêiner SExecSvc.exe, que permite que o malware receba privilégios SeTcbPrivilege.

Por fim, se o Siloscape for bem-sucedido, ele será capaz de criar contêineres maliciosos, colher dados de aplicativos ativos no cluster de violações ou implantar um criptominer que sequestrará os recursos de hardware do sistema para gerar secretamente moedas de uma criptomoeda escolhida.

Maior Foco em Furtividade

O Siloscape é fortemente ofuscado para evitar a detecção por contra-medidas de segurança e dificultar as tentativas de engenharia reversa. As funções da ameaça e os nomes dos módulos são desofuscados apenas no tempo de execução, enquanto a senha do servidor de Comando-e-Controle (C2, C&C) é descriptografada com um par de chaves codificadas. Na verdade, cada instância do Siloscape usa um par de chaves diferente, o que a torna muito diferente dos outros binários de ameaça.

Para alcançar o seu servidor C2, o SIloscape conta com o proxy Tor e um domínio '.onion'. Os investigadores da Unidade 42 conseguiram aceder ao servidor da operação e conseguiram identificar 23 vítimas activas com 313 vítimas no total. Os hackers perceberam a presença externa em minutos e rapidamente tornaram o serviço naquele endereço .onion inativo.

Buscar

Mudar de região

Siloscape Malware

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela