セキュリティ研究者は、悪名高いサイバー犯罪集団TeamPCPの被害者を標的とするための異例の新しい脅威キャンペーンを発見しました。
PCPJackは、SentinelOneのシニア脅威研究員であるAlex Delamotteによると、「公開されたクラウドインフラストラクチャ全体に蔓延し、TeamPCPに関連する痕跡を削除する」認証情報盗難フレームワークです。
TeamPCPは、Aqua Securityの人気のTrivy脆弱性スキャナーのGitHub Actionsを侵害し、無数のダウンストリームユーザー(LiteLLMを含む)に情報盗難マルウェアを配信したものを含む、今年の主要なオープンソース供給チェーン攻撃の背後にある集団です。
「PCPJackフレームワークが対象とするサービスの多くは、2025年12月の初期TeamPCP/PCPCatキャンペーンと似ており、2026年初期の高い認知度のキャンペーンがTeamPCPに重大な注目をもたらし、グループメンバーシップの変更につながったと考えられます」とDelamotteはSentinelLABSの投稿で説明しました。
「これは、グループのツール使用に深く精通した元オペレータである可能性があると考えています。」
TeamPCPの詳細:TeamPCPが盗まれた供給チェーン秘密を悪用する方法を探索
SentinelLABSレポートによると、TeamPCPに関連するすべての痕跡を削除した後、PCPJackは被害者のクラウドシステム全体に複製されるように設計されたコードをデプロイし、Docker、Kubernetes、Redis、MongoDB、RayML、および脆弱なウェブアプリケーションから認証情報を盗みます。
暗号資産の認証情報を盗むようにプログラムされていますが、暗号マイニング機能がありません。
「ほぼすべての中程度の高度なクラウド脅威キャンペーンは、TeamPCPのいくつかのキャンペーンを含め、ある時点でXMRigまたは同様のものをデプロイしています」とDelamotteは書きました。「このキャンペーンはそうではなく、TeamPCPに関連するマイナー機能を意図的に削除しています。」
「認証情報盗難、詐欺、スパム、恐喝、または盗まれたアクセスの再販」を通じた収益化が目標であることを示唆していると彼女は付け加えました。
PCPJackスタイルの攻撃を軽減する
SentinelOneは、組織がクラウドおよびウェブアプリケーションのセキュリティのベストプラクティスを遵守することにより、同様の脅威から防御するよう促しました。具体的には以下の通りです:
- 認証情報コンテナまたはシークレット管理サービスをエンタープライズ全体で使用する
- 認証情報コンテナへのアクセスがプレーンテキストで保存されたファイルに保存されないようにする
- APIキーだけでなく、サービスアカウントに多要素認証(MFA)を要求する
- AWS環境では、認証情報盗難を防ぐために、すべてのサービス全体でIMDSV2が強制されていることを確認する
- 承認されたS3リソースからのダウンロードのみを許可リストに追加する
- インターネットに公開されていない場合でも、DockerおよびKubernetesに認証を使用する(ラテラルムーブメントの一般的なターゲットであるため)
- Kubernetesサービスアカウントに最小権限の原則を適用する
「PCPJackと同様のツールセットの影響は、データ暴露と恐喝から、高制限のエンタープライズAPIサービスへのアクセス権を持つ攻撃者による財務的影響に至ります」とDelamotteは警告しました。
翻訳元: https://www.infosecurity-magazine.com/news/pcpjack-campaign-boots-teampcp-off/
