セキュリティ
認証情報を盗む攻撃者たちの、仁義なき戦い
独占情報 盗人にも仁義があるはずですが、今回登場した新種のワームは他の感染型ソフトウェアからも情報を盗み取ります。このワームは「複数の」被害者から認証情報を盗み出す一方で、暗号通貨のマイニングも行い、さらに類似の秘密情報窃取マルウェアを含む競合プロセスを強制終了させます。
その名は「Cloud AI Infrastructure Attack Framework(CAI)」。Docker、Kubernetes、Redis、etcd、Kubelet、Rayといったクラウドネイティブな開発者向けツールを標的に、認証情報の窃取と暗号通貨マイニングを行う集中管理型のボットネットです。
セキュリティ研究者のMichael R.氏によれば、このスクリプトは今年に入ってクラウド環境やサプライチェーンに大きな被害をもたらしてきた類似の認証情報窃取ワームから「強い影響を受けており」、「‘PCPJack-aligned’のようなコードコメント」を使用しているとのことです。
「CAIは明確にTeamPCPとPCPJackのプロセスを探し出して強制終了させ、侵害済みの標的を独占しようとします」と、同氏はX上で投稿しています。
TeamPCPは、今年初めのTrivyサプライチェーン攻撃以降、オープンソースレジストリを汚染してクラウドアクセストークンや認証情報、APIキーなどの機密データを収集してきたmini Shai-Hulud、Miasma、Canisterといったワームを開発しているマルウェア開発集団です。
そしてPCPJackは、より新しい秘密情報窃取型の模倣ワームで、認証情報を奪うだけでなく、TeamPCPの痕跡を削除して、この競合を被害者のクラウドインフラから締め出す機能も備えています。
CAIはどうやら両者から学んだようです。
「CAIは、TeamPCPやPCPJackが使用するツールキットに対抗することを目的として、絶えず進化を続けているフレームワークです」と、Hunt.ioの脅威研究者Michael Rippey氏は本誌The Registerに語りました。
Hunt.ioのチームは6月15日、同社のWebスキャンエンジン「AttackCapture」を通じて、この攻撃者に関連する3つの公開ディレクトリのうち最初の1つを観測し、CAIを最初に発見した組織となりました。
「3週間の間に、この攻撃者はPCPJackが用いるTTPを模倣するワームコードのテストから、本格的な製品化・展開、そしてネットワーク侵害へと段階を進めました」とRippey氏は述べています。「このコードベースにはLLM支援による開発の痕跡が見られ、何が有効かを研究しながら競合力のあるプラットフォームを構築しようとする者の、意図的な進化の過程がうかがえます」
Rippey氏によれば、このマルウェアは「決して高度とは言えない」ものの効果的で、最近のコマンド&コントロール(C2)ログでは「実際の攻撃実行が確認されており、ウォレットの活動状況からも複数の侵害の成功が裏付けられている」とのことです。
CAIのフレームワークは、「標的を自動化されたエクスプロイトキューに送り込むスキャンエンジンと、Docker、Redis、etcd、Kubeletなどを重点的に狙いつつクラウドインフラ全体にわたる攻撃を調整する集中管理型のC2制御」で構成されている、と同氏は付け加えました。
「現時点で、侵害されたホストにはマイナー、認証情報窃取ツール、そしてPythonバックドアが送り込まれています」とRippey氏は述べています。「CAIがTeamPCPやPCPJackと並んで登場したことは、互いに競合しながらクラウドインフラを狙う脅威アクターが増加していることを示しています」
これらの新興クラウドワームがサプライチェーン全体に食い込みながら残してきた被害の大きさを、私たちはすでに目の当たりにしてきました。防御側も開発者も、これを注視する必要があります。しかも、企業のクラウドインフラや開発者の機密情報を金銭化しようとする悪党たちの動きが、これで終わるとは考えにくい状況です。®