Een nieuw soort malware richt zich specifiek op het aanvallen van Windows-containers om toegang te krijgen tot Kubernetes-clusters van cloudomgevingen. Het is de eerste malware in zijn soort die zich specifiek richt op Windows-containers.
De malware werd in maart ontdekt door onderzoekers van het bedrijf Palo Alto Networks. De malware, die door de onderzoekers Siloscape genoemd wordt, is volgens hen uniek in zijn soort, omdat de meeste andere malware gericht op cloudomgevingen zich focust op Linux.
In een blogpost schrijven de onderzoekers dat de malware op zoek gaat naar slecht geconfigureerde Kubernetes-clusters via Windows-containers, om vervolgens in het cluster een achterdeur te openen om een geïnfecteerde container te kunnen draaien. De malware gebruikt bekende kwetsbaarheden in cloud-apps en webservers om toegang te krijgen, en probeert vervolgens via de Windows-container te ontsnappen.
Als de aanvallers binnen zijn en de malware is ontsnapt, voert de malware een remote code execution via de achterdeur uit op de onderliggende nodes van het cluster. Siloscape doet er alles aan om ongezien te blijven, onder andere door vervolgens via een tor-proxy en een .onion-domein anoniem verbinding te maken met de command-and-control-server van de malware, vanwaaruit de aanvallers data kunnen stelen en commando's kunnen versturen naar de malware.
Volgens Palo Alto Networks is de malware er al zeker 23 keer in geslaagd om succesvol toegang te krijgen tot een cloudomgeving. De onderzoekers kregen toegang tot de command-and-controlserver van de malware met in totaal 313 gebruikers. Daardoor denken de onderzoekers dat Siloscape maar een klein onderdeel is van een grootschalige malwareaanval. Die aanval is al zeker een jaar aan de gang.
In eerste instantie zag Microsoft na melding van de onderzoekers niet hoe de malware een kwetsbaarheid was in Windows Server, waar de containers in draaien. Daarom hebben de onderzoekers contact opgenomen met Google, als eigenaar van Kubernetes. Na 'geheen-en-weer tussen Google en Microsoft' heeft Microsoft de malware wel als kwetsbaarheid beoordeeld, onder CVE-2021-24096.