Threat Database Malware Siloscape skadlig programvara

Siloscape skadlig programvara

Siloscape är en ovanlig skadlig kod som syftar till att nå Kubernetes-kluster. Vanligtvis fokuserar denna typ av hot på Linux-system eftersom det är det mest använda operativsystemet (operativsystem) när det gäller hantering av molnappar och miljöer. Siloscape är emellertid det första observerade skadliga hotet som skapats specifikt för att äventyra Windows-behållare. Hotskådespelaren försöker sedan skapa en bakdörr i Kubernetes-kluster som inte har konfigurerats på rätt sätt med målet att köra skadliga containrar.

Siloscape Malware-funktionalitet

Siloscape sprids i form av en fil med namnet 'CloudMalware.exe'. Hotet utnyttjar kända sårbarheter för att få obehörig åtkomst till servrar, webbsidor och databaser. Enligt infosec-forskarna vid Palo Alto Networks Unit 42 som analyserade skadlig programvara lutar Siloscape mot att använda Server snarare än Hyper-V-isolering. När det väl är etablerat på det komprometterade systemet kommer hotet att initiera olika Windows-containerutflyktstekniker för att etablera fjärrkodkörning (RCE) på den underliggande noden i en container. En sådan metod innebär att Siloscape antar identiteten för SExecSvc.exe-containeravbildningstjänsten som tillåter skadlig kod att få SeTcbPrivilege-behörigheter.

I slutändan, om Siloscape lyckas, kommer det att kunna skapa skadliga behållare, skörda data från applikationer som är aktiva i kretsloppet eller distribuera en cryptominer som kommer att kapa systemets hårdvaruresurser för att hemligt generera mynt från en vald kryptovaluta.

Ökat fokus på stealth

Siloscape är kraftigt fördunklat för att undvika upptäckt genom säkerhetsmotåtgärder och hämma försök med omvänd teknik. Hotets funktioner och modulnamn deobfuskeras bara vid körning medan lösenordet för Command-and-Control (C2, C&C) -servern dekrypteras med ett par hårdkodade nycklar. I själva verket använder varje Siloscape-instans olika tangentpar som gör det precis så annorlunda än de andra hotbinarierna.

Räckvidden för sin C2-server, SIloscape förlitar sig på Tor-proxy och en '.onion'-domän. Enhet 42-forskare kunde komma åt servern för operationen och lyckades identifiera 23 aktiva offer med totalt 313 offer. Hackarna märkte den externa närvaron inom några minuter och gjorde snabbt tjänsten vid den .onion-adressen inaktiv.

Trendigt

Mest sedda

Läser in...