Siloscape: primer malware conocido dirigido a contenedores de Windows compromete entornos en la nube

El pasado marzo, Unit 42, el equipo de investigación de Palo Alto Networks, descubrió el primer malware conocido dirigido a contenedores de Windows, un desarrollo que no es sorprendente dado el aumento masivo en la adopción de la nube en los últimos años. La Unit 42 denominó al malware Siloscape (por la similitud con escape de silo, ‘silo escape’ en inglés) porque su objetivo principal es escapar del contenedor, y en Windows esto se implementa principalmente mediante un silo de servidor.

Siloscape es un malware muy ofuscado dirigido a clústeres de Kubernetes a través de contenedores de Windows. Su objetivo principal es abrir una puerta trasera en clústeres de Kubernetes mal configurados para ejecutar contenedores maliciosos.

Poner en peligro un clúster completo es mucho más grave que comprometer un contenedor individual, ya que un clúster podría ejecutar múltiples aplicaciones en la nube, mientras que un contenedor individual generalmente ejecuta una sola aplicación en la nube. Por ejemplo, el atacante podría robar información crítica como nombres de usuario y contraseñas, archivos internos y confidenciales de una organización, o incluso bases de datos completas alojadas en el clúster. Un ataque de este tipo incluso podría aprovecharse como un ataque de ransomware, tomando como rehenes los archivos de la organización. Peor aún, con las organizaciones que hacen transición a la nube, muchas usan clústeres de Kubernetes como sus entornos de desarrollo y prueba, y una brecha de dicho entorno puede provocar devastadores ataques a la cadena de suministro de software.

Siloscape utiliza el proxy Tor y un dominio .onion para conectarse de forma anónima a su servidor de comando y control (C2). En su descubrimiento, el equipo de investigación de Palo Alto Networks pudo acceder a este servidor, identificaron 23 víctimas activas de Siloscape y descubrieron que el servidor se estaba utilizando para alojar a 313 usuarios en total, lo que implica que Siloscape era una pequeña parte de una campaña mayor. También se descubrió que esta campaña se estaba llevando a cabo durante más de un año.

Este informe proporciona antecedentes sobre las vulnerabilidades de los contenedores de Windows, ofrece una descripción general técnica de Siloscape y ofrece recomendaciones sobre las mejores prácticas para proteger los contenedores de Windows.

Los clientes de Palo Alto Networks están protegidos de esta amenaza con las funciones de protección en tiempo de ejecución de Prisma Cloud.