Новое вредоносное ПО, действующее более года, взламывает контейнеры Windows для компрометации кластеров Kubernetes с конечной целью скрыть их и прокладывать путь злоумышленникам для использования их в других вредоносных действиях.
Kubernetes , изначально разработанный Google и в настоящее время поддерживаемый Cloud Native Computing Foundation, представляет собой систему с открытым исходным кодом, которая помогает автоматизировать развертывание, масштабирование и управление контейнерными рабочими нагрузками, службами и приложениями в кластерах хостов.
Он организует контейнеры приложений в поды, узлы (физические или виртуальные машины) и кластеры, при этом несколько узлов образуют кластеры, управляемые мастером, который координирует связанные с кластером задачи, такие как масштабирование или обновление приложений.
Текущие атаки на кластеры Kubernetes
Вредоносная программа, названная Siloscape исследователем безопасности Unit 42 Дэниелом Призмантом и первая нацеленная на контейнеры Windows , использует известные уязвимости, влияющие на веб-серверы и базы данных, с конечной целью скомпрометированных узлов Kubernetes и бэкдорных кластеров.«Siloscape - это сильно обфусцированное вредоносное ПО, нацеленное на кластеры Kubernetes через контейнеры Windows. Его основная цель - открыть бэкдор в плохо настроенные кластеры Kubernetes для запуска вредоносных контейнеров», - говорится в опубликованном сегодня отчете Призмант .
«Исследователи Unit 42 ранее видели вредоносное ПО, нацеленное на контейнеры в Linux, из-за популярности этой операционной системы в облачных средах», - добавили в отдельном блоге исследователи Unit 42 Ариэль Зеливанский и Мэтью Чиоди .
После взлома веб-серверов Siloscape использует различные тактики выхода из контейнера для выполнения кода на базовом узле Kubernetes.
Затем взломанные узлы проверяются на предмет учетных данных, которые позволяют вредоносному ПО распространяться на другие узлы в кластере Kubernetes.
Изображение: Kubernetes
На заключительном этапе заражения вредоносная программа устанавливает каналы связи со своим командно-административным (C2) сервером через IRC через анонимную коммуникационную сеть Tor и прослушивает входящие команды от своих хозяев.
Получив доступ к серверу C2 вредоносной программы, Prizmant смог идентифицировать 23 активных жертвы и обнаружил, что на сервере в общей сложности находилось 313 пользователей, намекая на то, что Siloscape является лишь крошечной частью гораздо более крупной кампании.
«Исследование сервера C2 показало, что это вредоносное ПО - лишь небольшая часть более крупной сети и что эта кампания проводится уже более года», - добавил Призмант.
«Кроме того, я подтвердил, что эта конкретная часть кампании была онлайн с активными жертвами на момент написания».
Подвергает жертв атакам программ-вымогателей и цепочек поставок
В то время как большинство вредоносных программ, нацеленных на облачные среды, ориентированы на криптоджекинг (тайный майнинг криптовалюты на зараженных устройствах) и злоупотребление зараженными системами для запуска DDoS-атак, Siloscape - совершенно другой зверь.Прежде всего, он делает все возможное, чтобы избежать обнаружения, избегая любых действий, которые могли бы предупредить владельцев скомпрометированных кластеров об атаке, включая криптоджекинг.
Его цель - использовать бэкдор для кластеров Kubernetes, что дает операторам возможность использовать скомпрометированную облачную инфраструктуру для более широкого спектра злонамеренных действий, включая кражу учетных данных, кражу данных, атаки программ-вымогателей и даже крайне катастрофические атаки на цепочки поставок.
«Взлом всего кластера намного серьезнее, чем компрометация отдельного контейнера, поскольку кластер может запускать несколько облачных приложений, тогда как отдельный контейнер обычно запускает одно облачное приложение», - заключил Призмант.
Администраторам Kubernetes рекомендуется переключиться с контейнеров Windows на контейнеры Hyper-V и убедиться, что их кластер надежно настроен, чтобы предотвратить развертывание новых вредоносных контейнеров такими вредоносными программами, как Siloscape.
Индикаторы взлома (IOC) и дополнительные технические подробности о вредоносном ПО Siloscape доступны в отчете Prizmant .
Перевод - Google
Bleeping Computer
Последнее редактирование модератором: