book_icon

Siloscape: primeiro malware que visa contêineres do Windows para comprometer ambientes em Nuvem

O Malware foi nomeado de Siloscape (escape de silo) porque seu objetivo principal é escapar do contêiner e, no Windows, isso é implementado principalmente por um silo de servidor

Siloscape: primeiro malware que visa contêineres do Windows para comprometer ambientes em Nuvem

Em março de 2021, a Unit 42 descobriu o primeiro malware voltado para contêineres do Windows, um desenvolvimento que não é surpreendente, dado o grande aumento na adoção da Nuvem nos últimos anos.

O Siloscape é um malware fortemente ofuscado que visa clusters do Kubernetes por meio de contêineres do Windows. Seu principal objetivo é abrir um backdoor em clusters do Kubernetes mal configurados para executar contêineres maliciosos.

O Siloscape usa o proxy Tor e um domínio .onion para se conectar anonimamente ao seu servidor de comando e controle (C2)  

Comprometer um cluster inteiro é muito mais grave do que comprometer um contêiner individual, pois um cluster pode executar várias aplicações em nuvem, enquanto um contêiner individual geralmente executa um único aplicativo em nuvem. Por exemplo, o invasor pode ser capaz de roubar informações críticas, como nomes de usuário e senhas, arquivos confidenciais e internos de uma organização ou mesmo bancos de dados inteiros hospedados no cluster. Esse tipo de ataque pode até ser aproveitado como um ataque de ransomware, tornando os arquivos da organização como reféns. Pior ainda, com as organizações migrando para a nuvem, muitas usam clusters Kubernetes como seus ambientes de desenvolvimento e teste, e uma violação desse ambiente pode levar a ataques devastadores à cadeia de suprimentos de software.

O Siloscape usa o proxy Tor e um domínio .onion para se conectar anonimamente ao seu servidor de comando e controle (C2). Os pesquisadores da Unit 42 conseguiram obter acesso a este servidor. Foram identificamos 23 vítimas ativas do Siloscape e descoberto que o servidor estava sendo usado para hospedar 313 usuários no total, sugerindo que o Siloscape era uma pequena parte de uma campanha mais ampla. Também foi identificado que essa campanha já acontece há mais de um ano.

Principais descobertas:
Os contêineres do Windows surgem como um novo alvo
A Unit 42 só tinha visto malware direcionado a contêineres no Linux devido à popularidade desse sistema operacional em ambientes de nuvem. A Unit 42 espera ver mais malware visando contêineres do Windows porque o sistema operacional está cada vez popular em ambientes de contêiner.

Malware extremamente furtivo
O Siloscape usa criptografia de código sofisticada e se comunica com seu servidor de comando e controle (C2) através do Tor para ocultar sua presença.

Atores de ameaças mudando seus ataques para a nuvem
O desenvolvimento desse malware ocorre quando os hackers passam por sua própria Transformação Digital, portanto, eles estão bem posicionados para explorar a enorme mudança corporativa para a nuvem e novas tecnologias, como contêineres.

Cada vez mais os contêineres estão sendo visados
A Unit 42 observou o primeiro malware visando contêineres há menos de dois anos – usado principalmente para ataques de criptojacking. Agora são vistos regularmente novos tipos de malware de contêiner, sendo o mais recente o Siloscape.

Serviço
Siloscape: First Known Malware Targeting Windows Containers to Compromise Cloud Environments (paloaltonetworks.com)

 

 

Últimas Notícias
Você também pode gostar
As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.