Новый вредонос для Kubernetes взламывает кластеры через контейнеры Windows

[Artifact]

Главным предназначением Siloscape является внедрение бэкдора в кластеры Kubernetes для запуска вредоносных контейнеров.

Активное более года новое вредоносное ПО компрометирует контейнеры Windows для дальнейшего взлома кластеров Kubernetes и установки в них бэкдоров с целью дальнейшей вредоносной активности.
Изначально разработанная Google, а теперь обслуживаемая Cloud Native Computing Foundation платформа Kubernetes представляет собой систему с открытым исходным кодом для автоматизации развертывания, масштабирования и управления контейнерными рабочими нагрузками, сервисами и приложениями в кластерах хостов.
Kubernetes организует контейнеры приложений в блоки, узлы (физические или виртуальные машины) и кластеры. Кластеры со множествами узлов в свою очередь формируют кластеры, управляемые мастером, координирующим такие связанные с кластерами задачи, как масштабирование и обновление приложений.
Вредоносное ПО, названное исследователем Unit 42 Дэниелом Призмантом (Daniel Prizmant) Siloscape, является первым, атакующим контейнеры Windows. Вредонос эксплуатирует известные уязвимости в web-серверах и базах данных с конечной целью – скомпрометировать узлы Kubernetes и установить бэкдоры.
«Siloscape представляет собой сильно обфусцированное вредоносное ПО, атакующее кластеры Kubernetes через контейнеры Windows. Его главным предназначением является открытие бэкдора в плохо сконфигурированных кластерах Kubernetes с целью запуска вредоносных контейнеров», – пояснил Призмант.
По словам исследователей Unit 42 Ариеля Зеливански (Ariel Zelivansky) и Мэттью Чиоди (Matthew Chiodi), до недавнего времени их коллеги фиксировали вредоносное ПО, атакующее кластеры только в Linux, из-за преобладания данной платформы в облачной среде.
Хотя большинство вредоносных программ для облачных сред предназначены для майнинга криптовалют или осуществления DDoS-атак, Siloscape преследует другие цели. Во-первых, оно намного лучше обходит обнаружение, а во-вторых, его основной задачей является установка бэкдора, открывающего путь для использования скомпрометированной облачной инфраструктуры с целью осуществления таких вредоносных действий, как кража учетных данных, персональных данных, атаки программ-вымогателей и даже атаки на цепочку поставок.