Kubernetes Sistemlerini Hedef Alan Zararlı Yazılım Tespit Edildi: Siloscape Backdoor

Palo Alto Networks güvenlik araştırmacılarının, Windows Server konteynerlerini hedefleyen ve ardından Kubernetes kümelerine bir Backdoor saldırısı gerçekleştiren zararlı yazılım tespit edildiğini açıklamıştır (Link). Siloscape olarak adlandırılan yazılım, zararlı konteynerleri çalıştırmak ve hatalı yapılandırılmış Kubernetes sistemlerini sömürebilmek için tasarlanmıştır. Bir sistemin güvenliğinin ihlal edilmesi, siber tehdit aktörlerinin hedef cihazlardaki kritik özlük bilgileri, gizli dosyaları ve hatta kümede barındırılan tüm veri tabanlarını ele geçirmesine imkan vermektedir.

Siloscape, komuta ve kontrol (C2) sunucusuna anonim olarak bağlanmak için Tor Proxy’sini ve bir “.onion” domain adresi kullanmaktadır. Bu sunucuya erişim sağlayan güvenlik araştırmacıları 23 aktif Siloscape kurbanı belirlemiş ve sunucunun toplamda 313 kullanıcıyı barındırmak için kullanıldığını keşfetmiştir. C2 sunucusunun analizi sonrasında, zararlı yazılımın daha büyük bir ağın yalnızca küçük bir parçası olduğu ve bu kampanyanın bir yıldan uzun süredir devam ettiği tespit edilmiştir.

Saldırı zinciri, web sunucularına ve diğer bulut uygulamalarına yapılan saldırılarla başlamaktadır. Siber tehdit aktörleri, alttaki düğümde kod yürütmek için konteyner kaçış tekniklerinden yararlanmakta, ardından düğümün kimlik bilgileri kümeye yayılmak için kullanılmaktadır. Windows konteynerinde uzaktan kod yürütme (RCE) gerçekleştirmek için bilinen bir güvenlik zafiyetinden, zafiyetli bir web sayfasından veya veri tabanından yararlanmaktadır. Zafiyetten başarılı bir şekilde yararlanılması ile birlikte, Siloscape zararlı yazılımı hedef sistemde “CloudMalware.exe” dosyasını tetiklemektedir.

Güvenlik sıkılaştırılması yapılmamış Windows Server konteynerlerindeki servislerin Hyper-V sistemine taşınması önerilmektedir. Ayrıca sistem yönetiminin, güvenlik yapılandırmalarının uygulandığından emin olunması tavsiye edilmekte ve bu bağlamda, kurumların zararlı yazılım tehditlerine karşı güvenli bir bulut ortamı kullanması önem arz etmektedir.

Aşağıda paylaşılan IoC bulgularının güvenlik cihazları tarafından engellenmesi önerilmektedir.

FileHash-SHA256:

5b7a23676ee1953247a0364ac431b193e32c952cf17b205d36f800c270753fcb
81046f943d26501561612a629d8be95af254bc161011ba8a62d25c34c16d6d2a
010859ba20684aeaba986928a28e1af219baebbf51b273ff47cb382987373db7

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!