出典: North Wind Picture Archives via Alamy Stock Photo
研究者たちは、危険なサプライチェーン攻撃者「TeamPCP」による感染を無料で完全に除去してくれるモジュール型のクラウドワームを発見しました。ただし、代償があります。それはあなたのシークレットが欲しいのです。
SentinelLabsは新しいブログ投稿でこのプログラムを「PCPJack」と名付け、「よく開発されている」と説明しました。効果的ですが、説明のつかない表面的な奇妙な点が数点あります。影響を受けた組織は、クラウドセキュリティのベストプラクティスを実装し、パスワードとキーをボルトと多要素認証の背後に隠さない限り、クラウド、コンテナ、開発者、生産性、金融サービスに関連するシークレットを失う可能性があります。
PCPJackについて知るべきこと
多くの点で、PCPJackは根絶するために構築されたマルウェアを反映しています。公開されており悪用可能なクラウドサービスをスキャンし、価値のある認証情報を広範にスイープし、その後繰り返します。
初期アクセスは「bootstrap」というモジュールで管理されます。永続性の確立と他のPythonモジュールのダウンロードの他に、TeamPCPに属するプロセスの検索と排除に即座に取り組みます。
メインのオーケストレータスクリプト「monitor」が次に実行され、良性のシステム監視ユーティリティと同様にシステムメトリクスの収集を開始します。このデータは攻撃者にとって有用ですが、研究者はこのスキャンの主な目的はマルウェアを傍観者から隠すことだと考えています。その後、モジュールはローカル構成およびEnvironmentファイル、ならびにさまざまなクラウド、コンテナ、暗号資産ウォレット、トークン、キーの盗難を開始します。monitor.pyによって盗まれた大量のシークレットは「utils」というモジュールに渡され、ソートされて分類されます。
既に名前が挙がったクラウドサービス以外に、PCPJackはメールサービス(Gmail、Microsoft Outlook、Mailchimp)と他の一般的で多様なクラウドアプリケーション(AWS、GitHub、Slack、WordPress)、ならびに暗号業界で最も広く知られた名前(BitcoinやEthereumなどの通貨、CoinbaseやBinanceなどの取引所、Stripeなどのフィンテックサービス)を標的にしています。
SentinelLabsが指摘するように、シークレットをボルトに隠し、サービスアカウントに多要素認証(MFA)を要求し、一般的に適切なクラウドセキュリティ衛生を実装している組織は、PCPJackおよびTeamPCPができる最悪の事態から自らを守ることができます。
PCPJackの最良の機能と欠落している機能
PCPJackはネットワーク内および他のターゲットへの横方向の移動を行います。公開されたクラウドサービスにハッキングしてシークレットを盗み、より多くのクラウドサービスにハッキングするためにシークレットを盗みます。
ネットワーク内の横方向の移動を処理するスクリプト「lat」は、新たに盗まれたシークレットを使用してKubernetes環境、Dockerコンテナ、Redis、SSH経由のリモートマシン、その他にアクセスを取得します。
外部伝播ロジックはより革新的です。マルウェアのオーケストレータモジュールはCommon Crawlからparquetファイルをダウンロードします。Common Crawlはデータ分析と人工知能(AI)開発で人気のあるボランティア組織で、オープンウェブからデータをクロールして収集しています。その後マルウェアはこのオープンソース(OSS)データをスキャンして潜在的なターゲットを探し、「csc」というモジュールが既知の脆弱性を悪用して侵入する大変な作業を行います。PCPJackはまた、既にスキャンしたホストを追跡し、複数のインスタンスが同じホストをスキャンするのを防ぎます。
「PCPJackの最も革新的な機能は、新しいターゲットを見つけるためのparquetファイルの使用です」とSentinelLabsのシニア脅威研究者Alex Delamotteは述べています。「このツールセットはCommon Crawlのparquetファイルを使用して、ノイズが少なく事前に検証されたターゲット検出を行っています。無差別なスキャンとは異なり、有効なHTTPレスポンスを持つホストをフィルタリングし、parquetインデックスを上書きすることで標的攻撃のターゲティングをカスタマイズできます。私の知識では、他のツールはこのようにparquetファイルを使用していません。」
ハッカーVSハッカー
脅威アクターは長年にわたって、ターゲットシステム上の他のマルウェア感染を削除するため、またはマルウェアが内部に入ったら少なくとも「後ろのドアを閉める」ために設計されたメカニズムをマルウェアに組み込んできました。ボットネットと暗号採掘者のような一部のマルウェアは、競合するプログラムが食い尽くす可能性のある大量のコンピューティングリソースを要求します。サイバー犯罪者はまた、彼らの幸運を共有したくないか、同じシステム上の別のプログラムが非常に騒々しい場合、セキュリティチームからの注目のリスクを高めたくないかもしれません。
PCPJackは異なります。他のすべてのマルウェアをより広く標的にするのではなく、TeamPCPのツール専門に標的にしています。TeamPCPはハイプロファイルで急速に成長している脅威グループですが、Morris wormほどではありません。PCPJackのような同様のサービスを標的にするツールでさえ、野生状態でそれに頻繁に遭遇することはまずありません。これはSentinelLabs研究者がPCPJackが実際にTeamPCP感染と戦おうとしている研究者によって展開されたのかどうかを疑問に思わせました。マルウェアの他のペイロードはすぐにその推測を払拭しました。
SentinelLabsは現在、PCPJackが以前TeamPCPに関与していた誰かによって作成されたかもしれないと推測しており、その人物はそのタクティクス、テクニック、手順(TTP)に精通しています。ライバル関係はサイバー犯罪者の間では珍しくなく、この理論は両グループのタイムラインの注目すべき点ですが決定的ではない詳細と一致しています。4月19日、Xアカウントが停止される直前に、TeamPCPは脅威アクター「身元盗用」にほのめかした投稿をしました:
出典: SentinelLabs
Delamotteによると、攻撃者のインフラストラクチャからの証拠は、PCPJackキャンペーンが4月20日の週に開始されたことを示唆しています。
予想外に、PCPJackは暗号採掘機能を含みません。クラウド犯罪のニッチでは、SentinelLabsは述べました。ほぼ誰もがXMRigまたは同等のものを展開して、ターゲットの有利なコンピューティングパワーを吸い上げています。Delamotteにとって、「暗号採掘がないことは、アクターが長期的なリソース悪用よりも認証情報とウォレットの盗難を通じた迅速なペイオフを優先していることを示唆しています。認証情報とウォレットの盗難は検証を自動化するための事前開発が必要ですが、検出と回避のリスクが高い採掘よりも迅速なリターンを提供します。」
最新のDark Reading Confidentialポッドキャストをお見逃しなく、USBペネトレーションテストのストーリーがどのようにしてバイラルになったか。20年前、Dark Readingはその最初のブロックバスター作品を投稿しました。クレジットユニオンの駐車場周辺に仕込まれたサムドライブを散りばめ、好奇心が強い従業員に残りを処理させたペンテスターのコラムです。このエピソードはその歴史的な作品とその著者Steve Stasiukonisの歴史を振り返ります。今すぐ聴いてください!
翻訳元: https://www.darkreading.com/cloud-security/teampcp-malware-pcpjack-steals-cloud-secrets
