CanisterWormは何をするマルウェアですか？

A. 条件に応じて動作を変え、破壊や定着を行います。

侵入後は、まずKubernetesクラスターの有無を調べ、その結果などに応じて動作を変えます。

環境がイランのタイムゾーンと地域に一致すると判定された場合は、破壊活動を始めます。

Kubernetesクラスターがある場合は、ホストのルートファイルシステムを扱えるDaemonSetを動かし、破壊用コンテナでトップレベルディレクトリを削除した後、ホストを強制的に再起動します。

Kubernetesクラスターがない場合は、root権限でホストのルートファイルシステム上のトップレベルディレクトリを削除し、root権限が使えないときはsudoでの実行を試みます。

イランではない環境でも、Kubernetesクラスターがあると、ホストのファイルシステムにPythonのバックドアを書き込み、systemdサービスとして入れることで、すべてのノードに残るようにします。

一方で、イランではなくKubernetesもない環境では、悪意のある動作をせず、そのまま終了します。

Kubernetesは快適な環境を提供する一方で、継続的にそれに応じた安全対策を施すことが重要です。

暴れるCanisterWorm https://constella-sec.jp/blog/hobokomo-securitynews/tips-1174/