Новый вредонос для Kubernetes взламывает кластеры через контейнеры Windows

Вт 8 Июнь 2021 09:25

Активное более года новое вредоносное ПО компрометирует контейнеры Windows для дальнейшего взлома кластеров Kubernetes и установки в них бэкдоров с целью дальнейшей вредоносной активности.

Изначально разработанная Google, а теперь обслуживаемая Cloud Native Computing Foundation платформа Kubernetes представляет собой систему с открытым исходным кодом для автоматизации развертывания, масштабирования и управления контейнерными рабочими нагрузками, сервисами и приложениями в кластерах хостов.

Kubernetes организует контейнеры приложений в блоки, узлы (физические или виртуальные машины) и кластеры. Кластеры со множествами узлов в свою очередь формируют кластеры, управляемые мастером, координирующим такие связанные с кластерами задачи, как масштабирование и обновление приложений.

Вредоносное ПО, названное исследователем Unit 42 Дэниелом Призмантом (Daniel Prizmant) Siloscape, является первым, атакующим контейнеры Windows. Вредонос эксплуатирует известные уязвимости в web-серверах и базах данных с конечной целью – скомпрометировать узлы Kubernetes и установить бэкдоры.

«Siloscape представляет собой сильно обфусцированное вредоносное ПО, атакующее кластеры Kubernetes через контейнеры Windows. Его главным предназначением является открытие бэкдора в плохо сконфигурированных кластерах Kubernetes с целью запуска вредоносных контейнеров», – пояснил Призмант.

По словам исследователей Unit 42 Ариеля Зеливански (Ariel Zelivansky) и Мэттью Чиоди (Matthew Chiodi), до недавнего времени их коллеги фиксировали вредоносное ПО, атакующее кластеры только в Linux, из-за преобладания данной платформы в облачной среде.

Хотя большинство вредоносных программ для облачных сред предназначены для майнинга криптовалют или осуществления DDoS-атак, Siloscape преследует другие цели. Во-первых, оно намного лучше обходит обнаружение, а во-вторых, его основной задачей является установка бэкдора, открывающего путь для использования скомпрометированной облачной инфраструктуры с целью осуществления таких вредоносных действий, как кража учетных данных, персональных данных, атаки программ-вымогателей и даже атаки на цепочку поставок.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 23 часа 48 минут 15 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.