TokyoBlackHatNews

theregister.com 4分で読了

ワームがライバルのマルウェアを削除し、その後制御を奪う

セキュリティ

あなたの侵害されたすべての認証情報は、もう他方のギャングではなく、今は私たちのものです

公開されたクラウドインスタンス全体を通じて蔓延している謎のフレームワークがあり、TeamPCPの感染のすべての痕跡を削除していますが、決して善意的ではありません。このマルウェアの背後にいる者は、以前のものをクリーンアップしているかもしれませんが、それは単に自分たちの場所を占めるためだけです。

発見されたセキュリティ企業SentinelOneのSentinelLabs研究者によって、TeamPCPから以前に侵害されたシステムを盗む習慣からPCPJackと呼ばれているこのワームは、Kubernetesに焦点を当てたVirusTotal狩猟ルール内に隠れた状態で4月下旬に最初に発見されました。SentinelLabsによると、既知のクラウドハックツールとは異なり、常に最初に実行するアクションはTeamPCP攻撃に関連するツールを排除することです。

ただし、スクリプトはそこで止まりませんでした。

「当初、このツールセットはTeamPCPの感染を除去する研究者のものである可能性があると考えました」とSentinelLabsは述べました。「後期段階のペイロードの分析は、そうではないことを示しています。」

「このスクリプトの分析により、クラウド認証情報の収集と被害者の環境内外の他のシステムへの伝播に特化した完全なフレームワークの発見につながりました」とSentinelLabsは続けました。言い換えれば、このものは手に入るあらゆる場所から認証情報を収集し、その後、自身を拡散させるための新しい、安全でないクラウド環境ターゲットを見つけます。

TeamPCPは昨年後期にシーンに登場し、その後は主にTrivy脆弱性スキャナーの侵害に成功することで有名になりました。その行為は認証情報収集マルウェアを拡散させ、攻撃者はそれを使ってより価値のあるターゲットへのピボットに使用し、最近の記憶における最も注目すべきサプライチェーン攻撃の一つになりました。

TeamPCPのキャンペーンとは異なり、人間の行為者による侵害されたソフトウェアの拡散に依存していたこのキャンペーンは、独自に拡散します。

感染は、既に感染したシステムがDocker、Kubernetes、Redis、MongoDB、RayMLを含む公開されたサービス、および公開されたWebアプリケーションを探すときに開始されます。脆弱な環境を見つけると、ターゲットシステムでシェルスクリプトを実行して、追加のペイロードをダウンロードするための環境をセットアップし、削除するTeamPCPプロセスとアーティファクトを検索します。

感染のその部分は、ワーム自体、横方向の動きを可能にするモジュール、認証情報を解析して流出のために暗号化するモジュール、および感染させるための新しい環境をWebでスキャンするモジュールをダウンロードします。

そこから、ワームはキット内の2番目のモジュールで機能し始め、実際の認証情報盗難を実行します。感染のこの部分は、環境変数、構成ファイル、SSHキー、Dockerシークレット、Kubernetesトークン、および金融、エンタープライズ、メッセージング、クラウドサービスターゲットのリストからの認証情報をターゲットにしますが、非常に長いため、ここで確認することをお勧めします。または、使用しているものは確実にターゲットにされていると想定してください。

SentinelLabsは、マルウェアパッケージに暗号化マイナーがないことは異常であることに注意し、ターゲットにした特定のサービスは、その目標がスパムキャンペーンを実施し、盗まれたデータで金銭的詐欺を実施すること、または収集したデータを同様の犯罪を計画している人々が利用できるようにすることのいずれかであることを示唆していると述べました。

TeamPCPファイルを削除するワームの慣行は、日和見的である可能性があるか、またはサイバー犯罪の世界でドラマが起こっていることを意味する可能性があります。

「このツールセットが、グループに関連する人物または彼らの活動に精通した人物を表しているかどうかを示唆する証拠はありません」とSentinelLabsは述べました。「ただし、最初のツールセットは、TeamPCPのサービスを無効にして置き換えることに焦点を当てており、純粋なクラウド攻撃の日和見主義ではなく、脅威アクターの活動に直接焦点を当てていることを意味しています。」

これはターゲティングに適した安全でないクラウドおよびWebアプリインスタンスに依存しているワームであるため、軽減推奨事項は非常にシンプルです。クラウドプラットフォームを安全に保ち、インターネットに公開されていないDockerやKubernetesなどのインスタンスでさえ認証が必要であることを確認してください。®


ロゴ

自分たちを養う手に噛みつく

翻訳元: https://www.theregister.com/security/2026/05/08/worm-rubs-out-competitors-malware-then-takes-control/5237389

ソース: theregister.com
#Docker #Kubernetes #PCPJack #クラウドセキュリティ #クラウド攻撃 #サイバー犯罪 #セキュリティ脅威 #マルウェア #ワーム #認証情報盗難

関連記事

MD5パスワードハッシュの60%は1時間以内に破られる可能性がある

MozillaがMythos活用によるFirefoxバグ削減を誇る

Anthropicが1クリック脆弱性に対応:「OK」をクリックしてはいけなかった