Bir yıldan daha süredir aktif olduğu tespit edilen ve Kubernetes cluster’larına erişmek için Windows Container sistemlerini hedef alan yeni bir malware tespit edildi.
Unit 42 güvenlik araştırma şirketi tarafından tespit edilen zararlının adı “Siloscape“. Siloscape aynı zamanda Windows Container’ını hedef alan ilk zararlı olma özelliği taşıyor. Araştırmacılar daha önce yaptıkları çalışmalarda bulut üzerindeki Linux Container’ında çeşitli zararlı aktiviteleri gördüler.
Siloscape’in çalışma mantığına baktığımızda, örnek olarak kubernetes üzerinde çalışan bir web sunucunuz olsun. Zararlı buradan çeşitli taktikler kullanarak konteyner sistemleri üzerinde kod çalıştırıyor ve sisteme sızıyor. Ele geçirilen nodlar sayesinde zararlı tüm kubernetes clusterları arasında yayılmaya başlıyor. Tüm nodların ele geçirilmesi sonunda kontrol sistemide ele geçirildikten sonra zararlı bir arka kapı açarak Tor network’u üzerinden saldırganlara sistemin kapılarını ardına kadar açıyor.
Araştırmacılar, Siloscape zararlısını incelerken aslında buzdağının görünenen yüzü olduğunu ve bu zararlının arkasında çok daha büyük etkiye sahip zararlılar olduğunu tespit ettiler.
Siloscape zararlısını diğer zararlılardan ayıran en büyük özelliği kimlik bilgisi hırsızlığı, veri hırsızlığı, fidye yazılımı saldırıları ve hatta son derece kritik tedarik zinciri saldırıları dahil olmak üzere daha geniş saldırılar için arka kapı açmak.
Uzmanlar, kullanıcıların Windows Container’dan Hyper-v Container’ına geçmelerini ve tüm ayarlarını tekrar kontrol etmeleri tavsiye ediyor.
Kaynak: unit42.paloaltonetworks.com
