Threat Database Malware Siloscape Malware

Siloscape Malware

Siloscape ist eine ungewöhnliche Malware, die darauf abzielt, Kubernetes-Cluster zu erreichen. Normalerweise konzentriert sich diese Art von Bedrohung auf Linux-Systeme, da dies das am weitesten verbreitete Betriebssystem (Betriebssystem) ist, wenn es um die Verwaltung von Cloud-Apps und -Umgebungen geht. Siloscape ist jedoch die erste beobachtete Malware-Bedrohung, die speziell entwickelt wurde, um Windows-Container zu kompromittieren. Der Bedrohungsakteur versucht dann, in Kubernetes-Clustern, die nicht entsprechend konfiguriert wurden, eine Hintertür einzurichten, um bösartige Container auszuführen.

Siloscape-Malware-Funktionalität

Siloscape wird in Form einer Datei namens „CloudMalware.exe“ verbreitet. Die Bedrohung nutzt bekannte Schwachstellen aus, um unbefugten Zugriff auf Server, Webseiten und Datenbanken zu erlangen. Laut den infosec-Forschern von Palo Alto Networks' Unit 42, die die Malware analysiert haben, tendiert Siloscape dazu, Server- statt Hyper-V-Isolation zu verwenden. Sobald die Bedrohung auf dem kompromittierten System eingerichtet ist, initiiert sie verschiedene Windows-Container-Escape-Techniken, um eine Remotecodeausführung (RCE) auf dem zugrunde liegenden Knoten eines Containers einzurichten. Bei einer dieser Methoden nimmt Siloscape die Identität des Container-Image-Dienstes SExecSvc.exe an, wodurch die Malware SeTcbPrivilege-Berechtigungen erhalten kann.

Wenn Siloscape erfolgreich ist, wird es letztendlich in der Lage sein, schädliche Container zu erstellen, Daten aus Anwendungen zu sammeln, die auf dem Sicherheitscluster aktiv sind, oder einen Cryptominer einzusetzen, der die Hardwareressourcen des Systems kapert, um heimlich Coins einer ausgewählten Kryptowährung zu generieren.

Verstärkter Fokus auf Stealth

Siloscape ist stark verschleiert, um eine Erkennung durch Sicherheitsmaßnahmen zu vermeiden und Reverse-Engineering-Versuche zu erschweren. Die Funktionen und Modulnamen der Bedrohung werden nur zur Laufzeit enthüllt, während das Passwort für den Command-and-Control (C2, C&C)-Server mit einem Paar hartcodierter Schlüssel entschlüsselt wird. Tatsächlich verwendet jede Siloscape-Instanz ein anderes Schlüsselpaar, was sie von den anderen Bedrohungsbinärdateien unterscheidet.

Um seinen C2-Server zu erreichen, setzt SIloscape auf den Tor-Proxy und eine '.onion'-Domain. Die Forscher der Einheit 42 konnten auf den Server der Operation zugreifen und konnten 23 aktive Opfer mit insgesamt 313 Opfern identifizieren. Die Hacker bemerkten die äußere Präsenz innerhalb von Minuten und machten den Dienst an dieser .onion-Adresse schnell inaktiv.

Im Trend

Am häufigsten gesehen

Wird geladen...