Una multinazionale viene colpita da un malware
Buongiorno cari lettori, oggi parleremo un malware che ha colpito una multinazionale
I ricercatori dell'Unità 42 di Palo Alto Networks hanno rivelato dettagli scioccanti su un nuovo malware che sta compromettendo i contenitori di Windows per colpire i cluster Kubernetes. I ricercatori lo hanno soprannominato Siloscape.
È considerato un malware insolito che si concentra su Linux come sistema operativo preferito per la gestione di ambienti e applicazioni cloud.
Un altro aspetto interessante del rapporto è che i ricercatori sono riusciti ad accedere al server C&C e hanno identificato 23 vittime attive del malware, per un totale di 313 vittime.
Cosa sono i cluster Kubernetes?
Sviluppato inizialmente da Google; Kubernetes viene ora gestito dalla Cloud Native Computing Foundation. È un sistema open source utilizzato per automatizzare la scalabilità, l'implementazione e la gestione di servizi, carichi di lavoro e applicazioni containerizzati su cluster host.
Ha inoltre organizzato i contenitori delle app in nodi (macchine fisiche/virtuali), pod e cluster. Più nodi formano cluster, che vengono quindi gestiti da un cluster master che coordina attività come l'aggiornamento o il ridimensionamento delle app.
Malware scoperto a marzo
Secondo i ricercatori dell'Unità 42, il malware è stato scoperto nel marzo 2021. È stato chiamato Siloscape perché mira a sfuggire ai contenitori di Windows attraverso un silo di server. Utilizza il proxy Tor e il dominio .onion per comunicare con il suo server C&C. Inoltre, gli operatori di malware lo utilizzano per esfiltrare i dati, inviare comandi e gestire il malware.
Come attacca?
Il malware è etichettato come CloudMalware.exe. Invece di utilizzare l' isolamento Hyper-V , utilizza Server per prendere di mira i contenitori Windows e lancia attacchi sfruttando vulnerabilità note e prive di patch per ottenere l'accesso iniziale contro pagine Web, server e/o database.
Quindi ottiene l'esecuzione di codice remoto sul nodo sottostante del contenitore utilizzando varie tecniche di escape del contenitore di Windows come la rappresentazione del servizio di immagine del contenitore CExecSvc.exe per ottenere i privilegi SeTcbPrivilege.
“Siloscape imita i privilegi di CExecSvc.exe impersonando il suo thread principale e quindi chiama NtSetInformationSymbolicLink su un collegamento simbolico appena creato per uscire dal contenitore. Più specificamente, collega la sua unità X containerizzata locale all'unità C dell'host", hanno osservato i ricercatori .
Se il malware riesce a fuggire, crea contenitori dannosi, ruba dati da applicazioni in esecuzione/attive in cluster compromessi o carica minatori di criptovaluta per sfruttare le risorse dei sistemi per estrarre criptovaluta e guadagnare profitti per gli operatori di malware.
Cluster Kubernetes presi di mira da Siloscape Malware
Offuscamento perfetto sul posto
Gli sviluppatori di malware hanno provato ogni asso nella manica per mantenere il malware offuscato. I suoi moduli e le sue funzioni possono essere deoffuscati solo in fase di esecuzione.
Inoltre, per mantenere nascoste le sue attività e rendere complesso il reverse engineering, utilizza una coppia di chiavi per decrittografare la password del server C&C.
Le chiavi vengono generate per ogni attacco unico. I ricercatori hanno notato che le chiavi hardcoded rendono ogni binario difficile dal resto. Diventa difficile trovare il suo hash ovunque, rendendo impossibile rilevare il malware solo tramite hash.
