Предполагается, что атаки, обнаруженные компанией Palo Alto Networks в начале этого года в марте, продолжаются как минимум год. По словам исследователей, злоумышленник, стоящий за этой кампанией, сканирует Интернет в поисках распространенных облачных приложений, таких как веб-серверы, и развертывает эксплойты для старых уязвимостей, для закрепления в незащищенном приложении. Если веб-приложение запускается внутри контейнера Windows Server, злоумышленник развертывает вредоносное ПО известное как Siloscape, которое использует ранее задокументированную технику выхода из контейнера Windows для получения доступа к операционной системе. Если ОС работает как узел Kubernetes, злоумышленник извлекает и собирает учетные данные узла, которые, по мнению исследователей, они могут использовать для перехода к внутренней инфраструктуре Kubernetes компании для развертывания новых узлов с вредоносными возможностями. Siloscape также загружает и устанавливает клиент Tor, чтобы связываться со своим сервером управления и контроля и получать команды. Palo Alto Networks заявила, что смогла получить доступ к этому C&C серверу, и на данный момент злоумышленник, по-видимому, заразил более 300 систем. Однако до сих пор исследователи не наблюдали вредоносной активности.
В отличие от других вредоносных программ, нацеленных на контейнеры, которые в основном ориентированы на криптоджекинг, Siloscape фактически не делает ничего, что могло бы повредить кластер сам по себе. Вместо этого он фокусируется на том, чтобы его нельзя было обнаружить и отследить, и открывает бэкдор в кластер – говорит Даниэль Призмант, старший исследователь безопасности в Palo Alto Networks.
Palo Alto Networks предупреждает компании о необходимости принять меры и перенести приложения из контейнеров Windows на новую технологию виртуализации Microsoft Hyper-V, которую даже Microsoft рекомендует использовать вместо своего старого и менее безопасного механизма контейнера. Призмант сказал, что компании, которые не прислушиваются к этому совету, рискуют скомпрометировать важные внутренние системы.
Хотя этот конкретный субъект, скорее всего, будет заниматься замаскированной добычей криптовалюты для собственной прибыли, он также может сдавать в аренду доступ к некоторым из более крупных взломанных компаний другим преступным группам, таким как банды вымогателей, для получения большей прибыли.
Пока компании не найдут способ перейти с контейнеров Windows Server на Hyper-V, им следует развернуть системы для обнаружения атак Siloscape. Индикаторы компрометации (IOC) из кампании Siloscape доступны в отчете Palo Alto Networks.
