TeamPCPとして知られる金銭的動機を持つサイバー犯罪グループが、クラウド環境をターゲットとした破壊的な新しいキャンペーンを開始しました。
このグループは、進行中の地政学的紛争に自らを注入しようとしており、イランに位置するか、ファルシア語をデフォルト言語として構成されているシステムのデータを削除する自己伝播マルウェアである「CanisterWorm」を展開しています。
このワームは、不適切に保護されたクラウドサービスを悪用することで広がり、既に危険な脅威行為者に破壊的なレイヤーを追加します。
セキュリティ専門家は、ワイパーキャンペーンは最近実現しましたが、TeamPCPは2025年12月以来活動していると指摘しています。
初期段階では、このグループは公開されているDockerアプリケーションプログラミングインターフェース、Kubernetesクラスター、Redisサーバー、およびReact2Shell脆弱性をターゲットとした自己伝播ワームをデプロイすることにより、企業クラウド環境の侵害に焦点を当てていました。
初期アクセスを取得した後、TeamPCPは被害者ネットワークを通じて横方向に移動し、認証認証情報を抽出したり、Telegramメッセージングプラットフォームを使用して被害者を恐喝したりすることを試みました。
3月19日、TeamPCPはAqua Securityが維持する脆弱性スキャナーTrivyに対して重大なサプライチェーン攻撃を実行しました。
攻撃者は、GitHub Actionsの公式リリースに認証情報を盗むマルウェアを注入しました。
Aqua Securityが迅速に有害なファイルを削除しましたが、セキュリティ企業のWizは、攻撃者がSecure Shell(SSH)キー、クラウド認証情報、Kubernetesトークン、および暗号資産ウォレットを盗むことができた悪意のあるバージョンを正常に公開したと指摘しています。
この事件は、以前の脅威HackerBot-Clawに続く、最近数ヶ月間でTrivyを含む2番目の大きなサプライチェーン攻撃です。その後の報告では、TeamPCPがCheckmarxのKICS脆弱性スキャナーにも認証情報を盗むマルウェアをプッシュしたことが確認されています。
Trivy攻撃と同じ技術インフラストラクチャを使用して、TeamPCPは週末に新しい悪意のあるペイロードをデプロイしました。
セキュリティ研究者のCharlie Eriksenは、ユーザーのタイムゾーンとロケールがイランのものと一致した場合、このペイロードはワイパー攻撃を実行すると説明しました。
ワイパーがKubernetesクラスターへのアクセス権を持つイランのターゲットを検出した場合、そのクラスター内のすべてのノードのデータを破壊します。被害者がクラスターアクセスを欠いている場合、マルウェアは単に更に広がることなくローカルマシンをワイプします。
TeamPCPの背後にいる個人は、Telegram上で彼らの悪用について自慢しており、多国籍製薬会社を含む大企業から大量の機密データを盗んだと主張しています。
Aqua Securityを侵害した後、Krebs on SecurityもまたハイジャックしたGitHubアカウントでスパムメッセージを投稿し、おそらく彼らの汚れたコードパッケージを検索結果で目立つようにしました。
サイバーセキュリティ専門家は、脅威行為者がその効率を認識するにつれて、サプライチェーン攻撃の頻度が増加していると警告しています。
オープンソースコラボレーション向けに設計されたプラットフォームを悪意のある追加から保護することは、セキュリティコミュニティにとって複雑なエンジニアリング上の課題であり続けています。
翻訳元: https://cyberpress.org/canisterworm-hits-containers/