研究者は、TeamPCPが盗まれた認証情報を悪用しようとする中で、サプライチェーン攻撃者とLapsus$のような恐喝ギャングとの間に「危険な融合」を観察しています。
3月30日に公表された新しいレポートの中で、現在はGoogle Cloudの一部となったWizのセキュリティ研究者は、TeamPCPがこれらのキャンペーン中に収集した秘密(クラウド認証情報、SSHキー、Kubernetes設定ファイル、その他のコーディングプロセス秘密など)を収益化する方法を模索していた証拠を発見したと述べました。
その脅威グループは、これらの秘密を検証し、暗号化し、攻撃者が管理するドメインに流出させているのが観察されています。
「使用された速度は、サプライチェーン運用に責任のある同じ脅威アクターの仕業であることを示唆していますが、秘密が他のグループと共有され、彼らによって使用される可能性を排除することはできません」とWiz研究者は書いています。
TeamPCP:ランサムウェアグループとの疑いのある関係
Infosecurityと共有されたメッセージの中で、Wizは、TeamPCPが「混乱を永続させるために、悪名高い恐喝グループLapsus$と明確に協力していた」ことを確認しました。
Lapsus$は、ソーシャルエンジニアリングと認証情報窃盗による高名な侵害で知られている恐喝に焦点を当てたハッキンググループで、Scattered SpiderおよびShinyHuntersとの疑いのある戦術的な重複がありますが、確認された組織的な関係はありません。
Wizのリード研究者であるBen ReadはInfosecurityに次のように述べています。「サプライチェーン攻撃者とLapsus$のような高名な恐喝グループとの間に危険な融合が見られています。エコシステム全体を水平に移動し、クラウド環境の3分の1以上に存在するliteLLMなどのツールにヒットすることで、彼らは『雪だるま効果』を作成しています。これは孤立した事件ではなく、セキュリティチームが対策を講じる必要のある体系的なキャンペーンであり、今後も拡大する可能性があります。」
一方、TeamPCPソフトウェアサプライチェーン攻撃を報告した最初の企業の1つであるSocketは、BreachForumsで研究の一部として、TeamPCPとのパートナーシップを発表するVectランサムウェアグループに帰属するポストを共有しました。
「VectランサムウェアグループはTeamPCP(最新のTrivy / LiteLLMサプライチェーン侵害の背後にある運用者)とパートナーシップを結んでいます。一緒に、これらの攻撃に被害を受けたすべての影響を受けた企業にランサムウェアを展開する準備ができており、そこで止まりません。さらに大きなサプライチェーン操作を実行します。これらの侵害を壊滅的なフォローオンランサムウェアキャンペーンにチェーンします」とメッセージは述べています。
Vectはロシア語を話す新興ランサムウェア・アズ・ア・サービス(RaaS)グループで、コア開発者がランサムウェアを構築し、関連会社が攻撃を実行して利益の80~88%を獲得する、構造化されたアフィリエイトモデルとして運営されています。
悪意あるPyPIパッケージの波の背後にあるTeamPCP
TeamPCPとして知られるサイバー脅威グループは、開発者がPythonソフトウェアパッケージを共有およびダウンロードする公式オンラインリポジトリであるPython Package Index(PyPI)に悪意のあるパッケージをアップロードすることで、最近悪名高さで上昇しました。グループは通常、開発者にダウンロードさせるトリックを行うためにタイポスクワッティングを使用します。
1つのキャンペーンでは、グループはAqua Securityが所有する広く使用されているオープンソースの脆弱性スキャナーであるTrivyをターゲットにし、公式リリースおよびGitHub Actionsに認証情報窃盗マルウェアを注入しました。
その後、TeamPCPはGitHub ActionsおよびOpenVSX拡張を通じてCheckmarxのKICSスキャナーに同じマルウェアを注入しました。
その後、研究者はTeamPCPがLiteLLM AI Gatewayをターゲットにしていることを発見しました。LiteLLM AI Gatewayは、AIモデル統合の一般的なPythonライブラリです。
4番目のTeamPCPキャンペーンはPyPI上のTelnyx Pythonパッケージに影響を与え、再び認証情報窃盗マルウェアの配信につながりました。
翻訳元: https://www.infosecurity-magazine.com/news/teampcp-exploit-stolen-supply/
