TokyoBlackHatNews

gbhackers.com 4分で読了

CanisterWormはDocker、Kubernetes、Redisを狙い機密情報を盗む

TeamPCPとして知られる金銭的動機のあるサイバー犯罪グループが、「CanisterWorm」と呼ばれる自己伝播型マルウェアを使用して、セキュリティが不十分なクラウド環境を積極的に悪用しています。

このキャンペーンは、公開されているDocker API、Kubernetesクラスタ、Redisサーバ、およびReact2Shellなどの既知の脆弱性を不正アクセスのために狙い、認証情報を盗み、被害者を恐喝します。

活動は先週末に破壊的な転機を迎えました。セキュリティ研究者は、イランのタイムゾーンまたはペルシア語を使用するように設定されたシステム上のデータを選択的に破壊するワイパーコンポーネントがマルウェアに組み込まれていることを観察しました。

これは金銭的動機の操作の上に重ねられた地政学的な角度を示唆していますが、専門家は主な動機は依然としてデータ窃盗と恐喝であると信じています。

Image

TeamPCPは2025年後半から活動を開始し、従来のエンドポイントではなくクラウドインフラストラクチャにほぼ完全に焦点を当てています。

Flareによると、このグループは大規模に設定を誤ったコントロールプレーンを狙い、侵害された環境のうちAzureが61%、AWSが36%を占めています。

高度なエクスプロイトを開発する代わりに、このグループは自動化と既知の手法の再利用に依存しています。システム内に侵入すると、CanisterWormはサービス全体に横方向に拡散し、以下のような機密情報を収集します:

  • SSHキー。
  • クラウドアクセス認証情報。
  • Kubernetesサービストークン。
  • 暗号通貨ウォレット。

このワームは永続的なアクセスを可能にし、攻撃者がコントロールを維持し、Telegramを通じて実施される恐喝キャンペーンを含むフォローアップ攻撃を実行できます。

Trivyを介したサプライチェーン攻撃

TeamPCPの最近の操作の重要な部分は、Aqua Securityから広く使用されている脆弱性スキャンツールであるTrivyのサプライチェーン侵害を伴いました。

3月19日、攻撃者は侵害されたCI/CDワークフローを使用して、公式GitHubリリースに悪意のあるコードを注入しました。

汚染されたTrivyのバージョンは、開発者環境から機密データを抽出できました。Aqua Securityが悪意のあるアーティファクトを削除しましたが、Wizの研究者は、攻撃者が大規模に認証情報を収集するトロイの木馬化されたビルドを正常に配布したことを確認しました。

Image

これはここ数ヶ月間でTrivyを含む2番目の主要なサプライチェーンインシデントであり、攻撃者がリーチを最大化するために開発者ツールを狙う傾向の増加を強調しています。

Aikidoの研究者は、TeamPCPがTrivy攻撃から同じインフラストラクチャを再利用してCanisterWormペイロードを展開したことを特定しました。マルウェアにはシステムロケールとタイムゾーン設定をチェックするロジックが含まれています。

  • システムがイランベースの設定に一致し、Kubernetesアクセスがある場合、すべてのクラスタノードをワイプしようとします。
  • Kubernetesアクセスが利用できない場合は、代わりにローカルマシンをワイプします。

ただし、専門家はワイパーが大規模なデータを正常に破壊したという確認済みの証拠はまだなく、ペイロードはごく短い間のみアクティブであったと指摘しています。

ICPキャニスタと復元力

このキャンペーンの一つのユニークな側面は、マルウェアをホストして配布するためにInternet Computer Protocol(ICP)キャニスタを使用することです。これらのブロックチェーンベースのコンポーネントは、持ち去るのが難しい改ざん防止インフラストラクチャとして機能します。

ICPキャニスタはオペレーターが支払う限りオンラインのままであるため、コマンド・アンド・コントロール操作とペイロード配布のための復元力のあるプラットフォームを提供します。これにより、従来の削除努力の効果が低下します。

TeamPCPは、悪意のあるコードのリーチを増幅するためにGitHubを悪用しています。アカウントを侵害した後、グループはリポジトリにジャンクコミットとメッセージをスパムし、検索ランキングでの可視性を高めようとしています。

セキュリティ研究者は、この戦術は感染したリポジトリまたはパッケージが正当に見え、無防備な開発者によってダウンロードされる可能性を高めると警告しています。

CanisterWormキャンペーンは、自動化されたクラウドネイティブ攻撃とサプライチェーン侵害への広い転換を強調しています。設定誤り、信頼されたプラットフォーム、およびスケーラブルなツールを組み合わせることで、攻撃者は迅速にリーチを拡大できます。

専門家は、このような脅威から身を守るには、より強力なクラウドセキュリティ衛生、より厳格なアクセスコントロール、ソフトウェアサプライチェーンの改善されたモニタリング(特にGitHubなどのプラットフォームでは、悪意のあるクローンの検出は複雑なチャレンジのままです)が必要だと警告しています。

翻訳元: https://gbhackers.com/canisterworm-targets-docker/

ソース: gbhackers.com
#CanisterWorm #Docker #Kubernetes #TeamPCP #Trivy #クラウドセキュリティ #サプライチェーン攻撃 #マルウェア #ワイパー機能 #認証情報窃盗

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚