Обнаружен первый бэкдор для контейнеров Windows

Эксперты кибербезопасности сообщили о Siloscape, первом известном вредоносном ПО, которое заражает кластеры Kubernetes в облачных средах, атакуя контейнеры Windows Server.

Даниэль Призман (Daniel Prizmant) из Unit 42, отмечает: «Siloscape – это сильно запутанная вредоносная программа, нацеленная на кластеры Kubernetes через контейнеры Windows. Её основная цель – открыть бэкдор в плохо сконфигурированные кластеры Kubernetes для запуска вредоносных контейнеров».

Впервые обнаруженное в марте 2021 года ПО Siloscape использует множество методов, включая атаку на распространенные облачные приложения, такие как веб-серверы. Проникая через известные уязвимости оно, затем, использует техники выхода из контейнера Windows и получает возможность удалённого выполнения кода на базовом узле.

После этого вредоносная программа пытается распространиться по кластеру, пользуясь учётными данными узла, и создаёт через Tor-прокси анонимное соединение со своим командным и управляющим (C2) сервером. Последний выдаёт дальнейшие инструкции, такие как кража криптовалюты или конфиденциальных данных из приложений Kubernetes.

В отличие от прочих контейнерных угроз, Siloscape само по себе не вредит работе кластера, а, наоборот, старается чтобы создание «чёрного хода» осталось никем не замеченным.

Unit 42 утверждает, что обнаружила 23 активных жертвы после того, как ей удалось получить доступ к C2-серверу Siloscape, который имел 313 пользователей. Судя по дате запуска этого сервера, кампания Siloscape стартовала 12 января 2020 года.

Для защиты от этой угрозы администраторам следует проверить настройки безопасности: в правильно защищённом кластере Kubernetes разрешений узлов недостаточно для создания нового развёртывания. В этом случае Siloscape останавливается.