Threat Database Malware Logiciel malveillant Siloscape

Logiciel malveillant Siloscape

Siloscape est un malware inhabituel qui vise à atteindre les clusters Kubernetes. Habituellement, ce type de menace se concentre sur les systèmes Linux, car il s'agit du système d'exploitation (système d'exploitation) le plus utilisé pour la gestion des applications et des environnements cloud. Siloscape, cependant, est la première menace de malware observée qui est spécifiquement créée pour compromettre les conteneurs Windows. L'acteur de la menace tentera ensuite d'établir une porte dérobée dans les clusters Kubernetes qui n'ont pas été configurés de manière appropriée dans le but d'exécuter des conteneurs malveillants.

Fonctionnalité des logiciels malveillants Siloscape

Siloscape se présente sous la forme d'un fichier nommé 'CloudMalware.exe.' La menace exploite les vulnérabilités connues pour obtenir un accès non autorisé aux serveurs, aux pages Web et aux bases de données. Selon les chercheurs d'infosec de l'unité 42 de Palo Alto Networks qui ont analysé le malware, Siloscape penche vers l'utilisation de l'isolation Server plutôt que Hyper-V. Une fois établie sur le système compromis, la menace initiera diverses techniques d'échappement de conteneur Windows afin d'établir l'exécution de code à distance (RCE) sur le nœud sous-jacent d'un conteneur. Une de ces méthodes voit Siloscape assumer l'identité du service d'image de conteneur SExecSvc.exe, ce qui permet au malware de recevoir les privilèges SeTcbPrivilege.

En fin de compte, si Siloscape réussit, il pourra créer des conteneurs malveillants, récolter des données à partir d'applications actives sur le cluster des violations ou déployer un cryptominer qui détournera les ressources matérielles du système pour générer secrètement des pièces d'une crypto-monnaie choisie.

Accent accru sur la furtivité

Siloscape est fortement obscurci afin d'éviter la détection par des contre-mesures de sécurité et d'entraver les tentatives de rétro-ingénierie. Les fonctions de la menace et les noms de module ne sont désobscurcis qu'au moment de l'exécution tandis que le mot de passe du serveur Command-and-Control (C2, C&C) est déchiffré avec une paire de clés codées en dur. En fait, chaque instance de Siloscape utilise une paire de clés différente, ce qui la rend si différente des autres binaires de menace.

Pour atteindre son serveur C2, SIloscape s'appuie sur le proxy Tor et un domaine '.onion'. Les chercheurs de l'Unité 42 ont pu accéder au serveur de l'opération et sont parvenus à identifier 23 victimes actives avec 313 victimes au total. Les pirates ont remarqué la présence extérieure en quelques minutes et ont rapidement rendu le service à cette adresse .onion inactif.

Tendance

Le plus regardé

Chargement...