Publicidade

Malware usa sistemas Windows para infectar sistemas Kubernetes

Por| Editado por Jones Oliveira | 07 de Junho de 2021 às 22h20

Link copiado!

Getup
Getup
Tudo sobre Microsoft

Contêineres de desenvolvimento de aplicações em Windows são os vetores de entrada de um novo ataque contra sistemas Kubernetes, usados para organizar cargas de trabalho em desenvolvimento de softwares e serviços. O ataque, que se aproveita de vulnerabilidades já conhecidas, é focado na instalação de backdoors que, mais tarde, possam ser aproveitadas na entrega de aplicações maliciosas em meio aos pacotes, contaminando a própria ferramenta de gestão e, também, eventuais plataformas que estejam sendo entregues a partir dela.

O alerta foi feito pelo pesquisador em segurança Daniel Prizmant, da Unit 42. O malware Siloscape, como foi chamado, é o primeiro a mirar diretamente nos contêineres Windows, de forma a explorar vulnerabilidades já conhecidas em bancos de dados, servidores e até mesmo nos próprios Kubernetes. O sistema de código aberto, criado pelo Google, é mantido pela Fundação de Computação Nativa em Cloud, de forma aberta à comunidade e focada no desenvolvimento de aplicações para a nuvem de forma direta.

Com isso, também, se aumenta a superfície de ataque, devido aos diferentes formatos de implementação e nós que, no final das contas, gerenciam aplicações de desenvolvimento, instalação, distribuição e atualização das aplicações. A partir da backdoor, seria possível instalar malwares em sistemas mal configurados, colocando em risco todo o ambiente de produção e entrega dos softwares.

Continua após a publicidade

Uma vez com as portas abertas, o Siloscape usaria diferentes técnicas para executar códigos e comprometer os sistemas, com usos que podem ir desde movimentos laterais por meio de diferentes nós até tentativas de uso de credenciais já vazadas ou interceptação daquelas em uso nos sistemas. Por fim, a rede Tor é usada para comunicação com um servidor de comando, sob o controle dos criminosos, com a praga permanecendo no aguardo de instruções para novas ações, que podem levar a diferentes tipos de ataque, incluindo ransomwares, o roubo de informações sigilosas ou o comprometimento de cadeiras de suprimentos.

De acordo com o alerta da Unit 42, 23 plataformas de desenvolvimento já teriam sido vítimas do Siloscape, com 313 usuários potencialmente atingidos. Para o especialista, é possível que este seja o primeiro passo de uma campanha de contaminação, com o servidor de comando e controle parecendo estar conectado a uma rede que vem realizando ataques contra sistemas corporativos há pelo menos um ano, ainda que este vetor específico, além das infecções, não tenha sido utilizado em golpes diretos. O estado “dormente” seria mais um indício de que esta é uma operação maior.

Como a infecção se dá por aberturas conhecidas, mas ainda não corrigidas, a recomendação para os administradores é a troca dos contêineres Windows pelo formato Hyper-V, além da aplicação de melhores práticas na configuração da plataforma. A Unit 42 também divulgou indicadores de comprometimento e disse estar trabalhando com alguns dos contaminados já identificados para interromper o fluxo da ameaça.

Fonte: Unit 42, Bleeding Computer