ผู้เชี่ยวชาญเผยมัลแวร์ตัวใหม่พุ่งเป้า Windows Container ใน Kubernetes Cluster

Daniel Prizmant ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Unit 42 ได้เปิดเผยถึงรายละเอียดของมัลแวร์ตัวใหม่ที่เจาะจงเหยื่อในรูปแบบของ Windows Container ใน Kubernetes Cluster

Siloscape คือมัลแวร์ที่คาดว่ามีการปฏิบัติการมากว่าปีแล้ว และเรื่องราวที่ถูกเปิดเผยในครั้งนี้อาจจะเป็นเพียงส่วนเดียวในปฏิบัติการครั้งใหญ่ โดยไอเดียคือมัลแวร์จะมุ่งเน้นไปที่ปฏิบัติการ backdoor ใน Kubernetes Cluster เพราะพยายามหลีกเลี่ยงการเปิดเผยตัว ซึ่งอาจจะนำไปสู่อันตรายอย่างแรนซัมแวร์ หรือ Supply Chain Attack ได้

Siloscape อาศัยช่องโหว่ของเว็บเซิร์ฟเวอร์และฐานข้อมูลเพื่อเข้าสู่ Windows Container ซึ่งยังมีความสามารถโจมตี Node อื่นๆ ภายใต้ Kubernetes Cluster เดียวกันด้วย ในขั้นสุดท้ายจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่านโปรโตคอล IRC ในเครือข่าย Tor เพื่อรับคำสั่ง โดยหลังจาก Prizmant พบว่าเซิร์ฟเวอร์ที่ตนเข้าถึงได้พบเหยื่อนับร้อยราย ด้วยเหตุนี้จึงคาดการณ์ว่าปฏิบัติการนี้อาจจะใหญ่กว่าที่คิดและดำเนินการมานานนับปีแล้ว

ในมุมของการป้องกันแนะนำให้ย้ายจาก Windows Container ไปสู่ Hyper-V Container รวมถึงต้องตั้งค่าใน Kubernertes อย่างรัดกุมเพื่อป้องกันการโจมตีจาก Container สู่ Container ตัวอื่นด้วย ผู้สนใจศึกษาข้อมูลของมัลแวร์เพิ่มเติมได้ที่ https://unit42.paloaltonetworks.com/siloscape/

ที่มา : https://www.bleepingcomputer.com/news/security/new-kubernetes-malware-backdoors-clusters-via-windows-containers/