Siloscape, el nuevo malware detectado que afecta a contenedores de Windows, es utilizado para infectar ‘clusters’ de Kubernetes en la nube.

Daniel Prizmant, investigador de Unit 42, explicaba que Siloscape se trata de un malware altamente ofuscado cuyo propósito principal es el de establecer una puerta trasera en clusters de Kubernetes mal configurados.

Los creadores del malware parecen no haber querido establecer límites en cuanto a la finalidad de los ataques, aunque la exilftración de datos sensibles de la víctima y el minado de criptomonedas podrían ser dos de los principales objetivos.

Siloscape fue detectado por primera vez en marzo de este mismo año, y se caracteriza por su capacidad de afectar a aplicaciones en la nube (como servidores web) aprovechando vulnerabilidades conocidas. Una vez hecho esto, usa diversas técnicas para escapar del contenedor y conseguir ejecución remota de código.

Con el fin de escapar del contenedor, Siloscape suplanta al hilo principal y luego llama a NtSetInformationSymbolicLink mediante un link simbólico nuevo con el que se enlaza un disco local (que se encuentra dentro de un contenedor) al disco C del equipo víctima.

Después de intentar expandirse por todo el ‘cluster’, el malware establece una conexión anónima con el servidor C2 utilizando un proxy de Tor para recibir instrucciones sobre lo que debe hacer a continuación.

Los investigadores de Unit 42 encontraron 23 víctimas activas en un servidor con un total de 313 usuarios. La fecha de creación del servidor C2 indica que la campaña parece haber tenido inicio el 12 de enero de 2020, lo que sugiere que Siloscape podría ser parte de una campaña mucho más grande.

Más información

Researchers Discover First Known Malware Targeting Windows Containers

Siloscape: First Known Malware Targeting Windows Containers to Compromise Cloud Environments