Siloscape マルウェア

Siloscape は、Kubernetes クラスターに到達することを目的とする珍しいマルウェアです。通常、このタイプの脅威は、クラウド アプリと環境の管理に関して最も広く使用されている OS (オペレーティング システム) である Linux システムに焦点を当てています。ただし、Siloscape は、Windows コンテナーを侵害するために特別に作成された、初めて確認されたマルウェアの脅威です。次に、脅威アクターは、悪意のあるコンテナーを実行することを目的として、適切に構成されていない Kubernetes クラスターにバックドアを確立しようとします。

Siloscape マルウェアの機能

Siloscape は、「CloudMalware.exe」というファイルの形式で拡散します。この脅威は、既知の脆弱性を悪用して、サーバー、Web ページ、およびデータベースへの不正アクセスを取得します。マルウェアを分析した Palo Alto Networks の Unit 42 の情報セキュリティ研究者によると、Siloscape は Hyper-V 分離ではなくサーバーを使用する方向に傾いています。侵入先のシステムに侵入すると、この脅威は、コンテナの基になるノードでリモート コード実行 (RCE) を確立するために、さまざまな Windows コンテナ エスケープ手法を開始します。そのような方法の 1 つは、Siloscape が SExecSvc.exe コンテナー イメージ サービスの ID を想定し、マルウェアが SeTcbPrivilege 特権を受け取ることを可能にします。

最終的に、Siloscape が成功すれば、悪意のあるコンテナを作成したり、侵害クラスターでアクティブなアプリケーションからデータを収集したり、システムのハードウェア リソースをハイジャックして、選択した仮想通貨のコインを密かに生成するクリプト マイナーを展開したりできます。

ステルスへの注目の高まり

Siloscape は、セキュリティ対策による検出を回避し、リバース エンジニアリングの試みを妨げるために、高度に難読化されています。コマンド アンド コントロール (C2、C&C) サーバーのパスワードがハードコードされたキーのペアで復号化される間、脅威の関数とモジュール名は実行時にのみ難読化解除されます。実際、各 Siloscape インスタンスは異なるキー ペアを使用しているため、他の脅威バイナリとはまったく異なります。

SIloscape は、C2 サーバーに到達し、Tor プロキシと「.onion」ドメインに依存しています。 Unit 42 の研究者は、作戦のサーバーにアクセスすることができ、合計 313 人の犠牲者を含む 23 人のアクティブな犠牲者を特定することができました。ハッカーは数分以内に外部の存在に気づき、その .onion アドレスのサービスをすぐに非アクティブにしました。