TeamPCPが盗まれた認証情報でクラウドおよびSaaSインスタンスに侵入

出典: Rancz Andrei via Alamy stock photo

TeamPCPは、広範なサプライチェーン攻撃の成果を武器化し、盗まれた認証情報を使用してクラウドおよびソフトウェア・アズ・ア・サービス（SaaS）環境にアクセスしています。

同脅威グループは今月、複数のオープンソースソフトウェアプロジェクトに侵入し、Trivy（Aqua Securityが管理するセキュリティスキャナー）とKICS（静的コード分析用のCheckmarx開発ツール）から始まり、最近ではLiteLLM（オープンソースのPythonライブラリ）とTelnyxのPyPiパッケージ（開発者が音声AIエージェント用に使用）に攻撃を仕掛けました。

4つの攻撃キャンペーン全体の目標は同じでした。汚染されたオープンソースソフトウェアを使用して組織内にinfostealer マルウェアをデプロイし、ユーザーの認証情報、APIキー、SSHキー、その他のシークレットを収集することです。

現在、TeamPCPは盗まれた認証情報を使用してAWSおよびAzure環境ならびにSaaSインスタンスに侵入することで、より大きなターゲットに照準を定めています。このエスカレーションは、サプライチェーン攻撃への迅速な対応に高い優先度を付けています。認証情報を迅速にローテーションおよび失効させなかった組織は、攻撃者の格好の餌食になる可能性があるためです。

TeamPCPがクラウド攻撃を継続

昨日のブログ投稿で、Wiz Researchは、同社の顧客インシデント対応チーム（CIRT）がサプライチェーンの侵害に続くTeamPCPからの「複数の攻撃」を調査し、対応した方法について詳しく説明しました。

Wiz CIRTは3月19日、盗まれた認証情報の悪意のある使用を初めて検出しました。脅威行為者がTrufflehogオープンソースツールを使用してそれらの認証情報を検証しました。チームはAWSアクセスキー、Azure アプリケーションシークレット、およびさまざまなSaaSトークンのTrufflehog検証アクティビティを観察しました。

AWS侵害では、Wiz CIRTは脅威行為者が盗まれた認証情報とシークレットを武器化するのに時間を浪費していないことに気づきました。研究者は次のように述べています。「シークレットが検証された後、初期盗難からわずか24時間で、脅威行為者はAWS発見操作を開始しました。」

TeamPCPは被害者のAWS環境で広範な列挙を実施し、アイデンティティおよびアクセス管理ロールからS3バケットまであらゆるデータを収集し、特にAmazon Elastic Container Service（ECS）インスタンスのマッピングに焦点を当てました。

そこから、攻撃者はS3バケットおよびAWS Secrets Managerを含むその他のリソースからデータを流出させ、ECS Exec機能を悪用して実行中のコンテナ上でBashコマンドとPythonスクリプトを実行しました。Wiz研究者は、これが脅威行為者に環境をさらに探索し、追加の機密データを流出させる能力を与えたと述べています。

TeamPCP攻撃によって侵害されたクラウド環境の数は不明です。Wiz ResearchはDark Readingに対し、影響を受けた環境に関する数値を提供していないと述べています。

「共有できることは、我々の研究によるとこのアクティビティは単一のクラウドに限定されていないということです」とWiz Researchは述べています。「Azure、GitHub、およびその他のSaaSプロバイダ全体での侵害を観察しており、攻撃者がどのように環境全体で検証済み認証情報を再利用するかを反映しています。」

スピードの必要性

侵害されたAWS環境に加えて、Wiz CIRTはGitHubの悪意のあるアクティビティも追跡しました。TeamPCP行為者はプラットフォームのワークフローを悪用して、対象リポジトリ内でコードを実行しました。研究者によると、脅威行為者はGitHub Personal Access Tokenを悪用して、大規模にクローンリポジトリを作成しました。

エスカレートする攻撃によって、TeamPCPが微妙さとステルスよりもスピードを優先していることが示されています。キャンペーンはまた、侵害された認証情報を含むインシデントへの迅速な対応の重要性を示しています。

「我々の分析によると、TeamPCPは盗まれた認証情報を迅速に検証および武器化しました」とWiz Researchは述べています。「同時に、アクセスを迅速に失効または回転させるための措置を講じた組織は、ブラスト半径を制限することができました。」

Trivy、KICS、LiteLLM、およびTelnyxのサプライチェーン攻撃の影響を受けた可能性のある組織は、すべてのシークレットと認証情報をローテーションする必要があります。TeamPCP脅威行為者が認証情報の前にクラウドインスタンスへのアクセスを取得した可能性があるため、Wiz研究者は組織が環境内で疑わしく異常なアクティビティを探すことを推奨しています。

そのようなアクティビティには、VPNの異常な使用、短期間内の多数の「git.clone」イベント、および疑わしい列挙アクティビティが含まれます。Wizは最近のTeamPCP攻撃の侵害指標（IOC）を公開し、セキュリティチームがこれらの兆候を監視し、ネットワーク全体で監査ログが有効になっていることを確認するよう促しました。