脅威アクターのTeamPCPは、イランシステムを徹底的に破壊しながら他のシステムに静かにバックドアを仕込む目的で明確に設計された、CanisterWormマルウェアの非常に破壊的なバリアントを展開しました。
このクラウドネイティブな脅威は、Kubernetesクラスター、Docker環境、およびスタンドアロンホストをターゲットにしています。
攻撃者はInternet Computer Protocol(ICP)キャニスターを使用して弾力性のあるコマンドアンドコントロール(C2)通信を行い、ペイロード配信用に回転するCloudflareトンネルに依存しています。
実行されると、ペイロードはKubernetesサービスアカウントをチェックして環境を判定します。
その後、システムのタイムゾーンとロケール設定を評価してイランのターゲットを特定し、具体的にはAsia/Tehranまたはfa_IRなどの指標を探します。システムがイランに位置する場合、マルウェアは壊滅的なワイピングルーチンを開始します。
標的となるKubernetesクラスターでは、マルウェアはkube-systemネームスペース内にhost-provisioner-iranという名前の特権DaemonSetをデプロイします。
このデプロイメントはホストのルートファイルシステムをマウントするkamikazeという名前のAlpineコンテナを起動します。トップレベルのディレクトリを体系的に削除し、システムの再起動を強制します。
DaemonSetはすべてのノードのテイントに耐えるように設定されているため、重要なコントロールプレーンを含むすべてのノード全体に破壊的なコンテナをスケジュールします。
非Kubernetesのイランシステムは同様の残酷な運命に直面します。ホストをレンガにするためのルートディレクトリの強制削除です。
イラン外のシステムの場合、マルウェアは永続的なバックドアとしてのみ機能します。Kubernetes上では、クラスター全体にCanisterWormペイロードをインストールするhost-provisioner-std DaemonSetをデプロイします。
このバックドアはsystemdサービスとして登録され、最初はinternal-monitorに偽装されていますが、後にpgmonitorという名前でPostgreSQLに偽装を適応させます。
インストールされると、Pythonスクリプトは50分ごとにICP キャニスターC2に永続的にポーリングして、二次コマンドをダウンロードして実行します。
CanisterWormの最新イテレーションは、伝播のためにKubernetesにのみ依存することを超えて進化しました。マルウェアはSSHキーの盗難とDocker APIの悪用を通じた自律的な横展開機能を備えています。
スクリプトは/var/log/auth.logなどの認証ログを積極的に解析して、成功したログインからアクティブなIPアドレスとユーザー名を抽出します。その後、発見されたプライベートSSHキーを使用してこれらの隣接マシンに拡散します。
同時に、マルウェアはポート2375で公開されているDocker APIについてaikidoローカルサブネットをスキャンします。保護されていないエンドポイントが見つかると、ホストルートディレクトリをマウントしてペイロードを配信する特権コンテナを作成します。
この積極的なサプライチェーン攻撃から防御するために、セキュリティチームはインフラストラクチャを積極的に監査する必要があります。以下の表は、このキャンペーンに関連する重要な侵害の指標(IOC)の概要を示しています。
翻訳元: https://cyberpress.org/teampcp-deploys-canisterworm-wiper/