Inicio Windows Un nuevo malware para Kubernetes hace de puerta trasera en los clústeres...

Un nuevo malware para Kubernetes hace de puerta trasera en los clústeres a través de los contenedores de Windows

0
29

Un nuevo malware activo desde hace más de un año está comprometiendo los contenedores de Windows para poner en peligro los clústeres de Kubernetes con el objetivo final de hacerlos retroceder y allanar el camino para que los atacantes abusen de ellos en otras actividades maliciosas.

Kubernetes, desarrollado inicialmente por Google y mantenido actualmente por la Cloud Native Computing Foundation, es un sistema de código abierto que ayuda a automatizar el despliegue, el escalado y la gestión de cargas de trabajo en contenedores, servicios y aplicaciones en clusters de hosts.

Organiza los contenedores de aplicaciones en pods, nodos (máquinas físicas o virtuales) y clústeres, con múltiples nodos que forman clústeres gestionados por un maestro que coordina las tareas relacionadas con el clúster, como el escalado o la actualización de aplicaciones.

Los ataques en curso se dirigen a los clústeres de Kubernetes
El malware, bautizado como Siloscape por el investigador de seguridad de Unit 42 Daniel Prizmant y el primero que se dirige a los contenedores de Windows, aprovecha vulnerabilidades conocidas que afectan a los servidores web y a las bases de datos con el objetivo final de comprometer los nodos Kubernetes y los clústeres de backdooring.

«Siloscape es un malware fuertemente ofuscado que tiene como objetivo los clústeres Kubernetes a través de los contenedores de Windows. Su principal objetivo es abrir una puerta trasera en clústeres Kubernetes mal configurados para ejecutar contenedores maliciosos», dijo Prizmant en un informe publicado hoy.

«Los investigadores de Unit 42 sólo habían visto anteriormente malware dirigido a contenedores en Linux debido a la popularidad de ese sistema operativo en entornos de nube», añadieron los investigadores de Unit 42 Ariel Zelivansky y Matthew Chiodi en otra entrada del blog.

Una vez que compromete los servidores web, Siloscape utiliza varias tácticas de escape de contenedores para lograr la ejecución de código en el nodo Kubernetes subyacente.

A continuación, los nodos comprometidos son sondeados en busca de credenciales que permitan al malware propagarse a otros nodos del clúster Kubernetes.

En la fase final de la infección, el malware Siloscape establece canales de comunicación con su servidor de mando y control (C2) a través de IRC en la red de comunicación anónima Tor y escucha las órdenes entrantes de sus amos.

Tras obtener acceso al servidor C2 del malware, Prizmant pudo identificar a 23 víctimas activas y descubrió que el servidor alojaba a 313 usuarios en total, lo que indica que Siloscape es sólo una pequeña parte de una campaña mucho mayor.

«La investigación del servidor C2 demostró que este malware es sólo una pequeña parte de una red más grande y que esta campaña ha tenido lugar durante más de un año», añadió Prizmant.

«Además, confirmé que esta parte específica de la campaña estaba en línea con víctimas activas en el momento de escribir este artículo».

Expone a las víctimas al ransomware y a los ataques a la cadena de suministro

Mientras que la mayoría de los programas maliciosos que se dirigen a los entornos de la nube se centran en el criptojacking (minería secreta de criptomonedas en los dispositivos infectados) y en el abuso de los sistemas infectados para lanzar ataques DDoS, Siloscape es una bestia completamente diferente.

En primer lugar, hace todo lo posible para evadir la detección evitando cualquier acción que pueda alertar a los propietarios de los clusters comprometidos del ataque, incluyendo el cryptojacking.

Su objetivo es abrir una puerta trasera en los clústeres de Kubernetes, lo que abre el camino para que sus operadores abusen de la infraestructura de la nube comprometida para una gama más amplia de persecuciones maliciosas, incluyendo el robo de credenciales, la exfiltración de datos, los ataques de ransomware e incluso los ataques a la cadena de suministro altamente desastrosos.

«Comprometer un clúster entero es mucho más grave que comprometer un contenedor individual, ya que un clúster puede ejecutar múltiples aplicaciones en la nube, mientras que un contenedor individual suele ejecutar una sola aplicación en la nube», concluyó Prizmant.

Se aconseja a los administradores de Kubernetes que cambien los contenedores de Windows por contenedores de Hyper-V y que se aseguren de que su clúster está configurado de forma segura para evitar que el malware como Siloscape despliegue nuevos contenedores maliciosos.

Los indicadores de compromiso (IOC) y otros detalles técnicos sobre el malware Siloscape están disponibles en el informe de Prizmant.


SIN COMENTARIOS

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí