出典:Shutterstock経由 KanawatTH
脅威アクターが、設定不備のまま公開されているクラウド管理サービスや制御インターフェースを組織的に狙い、インフラを乗っ取って活動を拡大し、侵害したシステムを複数の方法で収益化している。
このキャンペーンは12月下旬に始まったとみられ、すでに世界中で少なくとも6万台のサーバーを、各感染システムが次の脆弱な標的をスキャンして感染させるワームのような攻撃によって侵害している。サイバーセキュリティ企業Flareが今週公開した分析によれば、TeamPCPとして追跡され、PCPcatやShellForceなど複数の別名でも活動するこの作戦は、クラウドネイティブなサイバー犯罪における憂慮すべき進化を示している。
「TeamPCPの強みは斬新なエクスプロイトや独自のマルウェアではなく、よく知られた攻撃手法の大規模な自動化と統合にある」と、Flareの研究者Assaf Moragは最近のブログ投稿で記した。「同グループは既存の脆弱性、設定不備、使い回しのツールを工業化し、露出したインフラを自己増殖する犯罪エコシステムへと変えるクラウドネイティブな悪用プラットフォームに仕立て上げている。」
TeamPCPの大規模自動化
脅威アクターの手口は、広範なIPレンジをスキャンして、公開されたDocker API、Kubernetesクラスター、Redisサーバー、Rayダッシュボード、そしてReact Server Componentsで広く悪用されているReact2Shell脆弱性を含むシステムを探すことを含む。いったんシステムへのアクセスを得ると、TeamPCPは悪意のあるPythonおよびShellスクリプトを展開し、追加ペイロードを取得して、プロキシ、トンネリングソフトウェア、そしてサーバー再起動後も永続化を可能にするコンポーネントをインストールする。
Flareは、攻撃者がKubernetes(kube.py)環境向けの専用スクリプトを用いて認証情報を収集し、管理者レベルのAPIを使ってアクセス可能なすべてのPodに悪意のあるコンテナを展開していることを確認した。Moragによれば、この手法により脅威アクターは初期侵入の足掛かりをクラスター全体の制御へと変えられるという。
「これは事実上、クラスター全体を自己増殖するスキャン基盤へと変換する」とMoragは指摘した。悪名高いReact2Shell脆弱性(CVE-2025-29927)を悪用するスクリプトにより、攻撃者は脆弱なアプリケーション上でリモートコマンドを実行し、機微データ、環境情報、クラウド認証情報を吸い上げることができる。
Flareが分析した攻撃のうち60%以上はAzure上でホストされたクラウドインフラに関与しており、37%はAWSホストだった。TeamPCPはGoogleおよびOracleのクラウド環境にあるサーバーも積極的に標的としている。
複数の収益源
TeamPCPは攻撃を複数の方法で収益化している。Flareは、脅威アクターが侵害システムを暗号資産マイニングに利用しているほか、プロキシアクセス用途として他の犯罪者に販売し、追加のスキャンや悪用に活用し、さらにランサムウェア作戦のC2(コマンド&コントロール)インフラのホスティングにも用いていることを突き止めた。
この多目的アプローチにより、TeamPCPは感染させた各システムから複数の収益源を確保できる。というのも「侵害された各システムが、スキャナー、プロキシ、マイナー、データ流出ノード、そしてさらなる攻撃の発射台になる」からだとMoragは述べた。「Kubernetesクラスターは単に侵害されるのではなく、分散ボットネットへと変換される。」
盗んだ計算資源の収益化にとどまらず、FlareはTeamPCPが従来型のデータ窃取と恐喝によっても収益を追求していることを確認した。複数の侵入で、同社の研究者は、関連する脅威グループShellForceが運営するデータ漏えいサイトを通じて、盗まれた身元記録、企業データ、履歴書データベースを同グループが公開しているのを観測した。
Flareが確認した盗難文書のサンプルには、氏名、国民識別番号、住所、電話番号、雇用および事業記録、詳細な求人応募資料が含まれていた。注目すべき侵害の一つでは、ベトナムの採用プラットフォームJobsGOが被害を受け、TeamPCPは求職者に関する詳細な個人情報・職務情報を含む200万件超の記録を流出させた。
Moragは、盗まれたデータの大半は、クレジットカード情報や銀行ログイン情報ほど地下市場で高値が付く、あるいは即座に収益化できるものではないと指摘した。むしろ、フィッシング攻撃、なりすまし攻撃、アカウント乗っ取りで攻撃者が有用と感じる種類のものだという。キャンペーンの被害者の多くは、韓国、カナダ、米国、セルビア、アラブ首長国連邦に所在している。
クラウド環境に対する危険な脅威
脅威アクターが評判の誇示と活動更新の共有の双方に利用しているTeamTCPのTelegramチャンネルは、約700人のメンバーを抱え、11月に開設されたようだ。しかし同グループは、作戦の「リブランディング」について言及しており、それは以前から別の別名で活動していた可能性を示唆しているとMoragは述べた。
Moragによれば、TeamPCPについておそらく最も懸念すべき点は、その手法が実のところ非常にありふれていることだ。独自の悪性コードを書くどころか、TeamPCPはスキャンおよびエクスプロイト活動の大半で、コピーしたものを軽微に改変したコード、そして/またはAI支援コードを使用してきた。グループが悪用している脆弱性やクラウドの設定不備はいずれも十分に文書化されており、TeamPCPは新しい攻撃手法を発明しているのではなく、古い手法を驚くほど効果的に工業化しているにすぎないとMoragは述べた。
「組織がオーケストレーションAPIを公開し続け、.envファイルでシークレットを漏えいさせ、強固なセキュリティ境界なしにクラウドサービスを展開し続ける限り、TeamPCPのようなアクターは世界のコンピュータ基盤を自分たちの犯罪インフラへと変え続けるだろう」と彼は指摘した。
Flareによれば、TeamPCPのような脅威に対抗するには、組織がクラウドセキュリティの基本に注意を払う必要がある。つまり、適切な認証、ネットワークセグメンテーション、最小権限アクセスのポリシーによってクラウドのコントロールプレーンを保護することだ。また同社は、予期しないコンテナ展開、異常なネットワーク接続、侵害を示す振る舞いの異常を検知できるランタイムセキュリティ監視を実装しなければならないとしている。
翻訳元: https://www.darkreading.com/cloud-security/teampcp-cloud-infrastructure-crime-bots
