ADPT

ผู้เชี่ยวชาญเผยมัลแวร์ตัวใหม่พุ่งเป้า Windows Container ใน Kubernetes Cluster

Daniel Prizmant ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Unit 42 ได้เปิดเผยถึงรายละเอียดของมัลแวร์ตัวใหม่ที่เจาะจงเหยื่อในรูปแบบของ Windows Container ใน Kubernetes Cluster

credit : BleepingComputer

Siloscape คือมัลแวร์ที่คาดว่ามีการปฏิบัติการมากว่าปีแล้ว และเรื่องราวที่ถูกเปิดเผยในครั้งนี้อาจจะเป็นเพียงส่วนเดียวในปฏิบัติการครั้งใหญ่ โดยไอเดียคือมัลแวร์จะมุ่งเน้นไปที่ปฏิบัติการ backdoor ใน Kubernetes Cluster เพราะพยายามหลีกเลี่ยงการเปิดเผยตัว ซึ่งอาจจะนำไปสู่อันตรายอย่างแรนซัมแวร์ หรือ Supply Chain Attack ได้

Siloscape อาศัยช่องโหว่ของเว็บเซิร์ฟเวอร์และฐานข้อมูลเพื่อเข้าสู่ Windows Container ซึ่งยังมีความสามารถโจมตี Node อื่นๆ ภายใต้ Kubernetes Cluster เดียวกันด้วย ในขั้นสุดท้ายจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่านโปรโตคอล IRC ในเครือข่าย Tor เพื่อรับคำสั่ง โดยหลังจาก Prizmant พบว่าเซิร์ฟเวอร์ที่ตนเข้าถึงได้พบเหยื่อนับร้อยราย ด้วยเหตุนี้จึงคาดการณ์ว่าปฏิบัติการนี้อาจจะใหญ่กว่าที่คิดและดำเนินการมานานนับปีแล้ว

ในมุมของการป้องกันแนะนำให้ย้ายจาก Windows Container ไปสู่ Hyper-V Container รวมถึงต้องตั้งค่าใน Kubernertes อย่างรัดกุมเพื่อป้องกันการโจมตีจาก Container สู่ Container ตัวอื่นด้วย ผู้สนใจศึกษาข้อมูลของมัลแวร์เพิ่มเติมได้ที่ https://unit42.paloaltonetworks.com/siloscape/

ที่มา : https://www.bleepingcomputer.com/news/security/new-kubernetes-malware-backdoors-clusters-via-windows-containers/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Kaseya ได้รับ Master Decryptor ถอดรหัส REvil Ransomware แล้ว

Kaseya ได้รับ Master Decryptor ถอดรหัส REvil Ransomware แล้ว พร้อมส่งมอบให้ลูกค้าที่ถูกเรียกค่าไถ่นำไปถอดรหัส

Apple ประกาศแพตช์อุดช่องโหว่ให้หลากหลายผลิตภัณฑ์ แนะผู้ใช้เร่งอัปเดต

มีการอัปเดตเวอร์ชันใหม่ของ iOS, macOS, iPadOS, watchOS, tvOS และ Safari ซึ่งแต่ละผลิตภัณฑ์มีการแก้ไขช่องโหว่หลายรายการที่ผู้ใช้งานไม่ควรพลาดการอัปเดต