5分読み
出典: hirun laowisit via Alamy stock photo
TeamPCPの高プロファイルなサプライチェーン攻撃の影響が、複数の観点から急速に拡大しています。
先月の侵害されたオープンソースプロジェクトの一連の報告に続き、今週は攻撃に関連する侵害について2つの被害組織が発表しました。火曜日、AI企業のMercorはソーシャルメディアプラットフォームXで、「LiteLLMを含むサプライチェーン攻撃により影響を受けた数千社の1つ」であると述べました。
木曜日には、EUのコンピュータ緊急対応チーム(CERT-EU)が発表したところによると、欧州委員会のクラウドおよびWebインフラへの最近の攻撃は、以前に報告されたTrivyサプライチェーン攻撃に由来するもので、これもTeamPCPに帰属します。CERT-EUによると、ECは誤ってTrivyコードスキャニングセキュリティツールの侵害されたバージョンをインストールしたため、脅威アクターが資格情報とシークレットを収集でき、その後それらを使用して組織のAmazonウェブサービス(AWS)クラウド環境にアクセスしました。
しかし、帰属に関しては事態はさらに複雑になっています。CERT-EUはまた、サイバー犯罪グループShinyHuntersがそのリークサイトで流出データセットを公開していることを確認しました。数日前には、このグループはECからメール、データベース、機密文書など90GB以上の機密データを取得したと主張していました。
同様に、Lapsus$はShinyHuntersと悪名高いScattered Spider集団に関連するサイバー犯罪グループである——Mercorの内部データ4TB(AI企業のソースコード1TB近くを含む)を保有していると主張していました。Dark ReadingはMercorにこの主張の確認を求めましたが、本稿発表時点で同社は応答しませんでした。
いずれにせよ、サードパーティのサイバー犯罪グループが状況に参入したことで、企業にとって事態が複雑になっています。これらのグループすべてが重複する盗まれたデータをどのようにして入手したのかは明確ではありません。また、この状況はサプライチェーン攻撃のリスクプロファイルを高めているため、専門家は組織が拡大する脅威に直ちに対処する必要があると述べています。
TeamPCPの拡大するサイバー犯罪影響力
MercorとECからの発表は、TeamPCPがサプライチェーン攻撃で盗まれた資格情報とシークレットを活用して組織のクラウドインフラストラクチャにアクセスしていることを警告するサイバーセキュリティベンダーの警告に続いています。今週初めのブログ投稿でWizは、カスタマーインシデント対応チーム(CIRT)が「複数の攻撃」を観察し対応していることを指摘しており、これらではTeamPCPアクターが盗まれた資格情報とシークレットを使用して被害者のAWS、Azure、SaaS(Software-as-a-Service)インスタンスにアクセスしています。
具体的には、Wizの研究者はAWS環境の複数の侵害について、脅威アクターが盗まれた資格情報を検出・検証するためにTrufflehogオープンソースツールを使用した方法を詳述しています。その後、TeamPCPは環境の偵察を実行してから、最終的にS3バケットやAmazon Elastic Container Service(ECS)インスタンスなどのリソースにアクセスして機密データを流出させました。
CERT-EUによると、脅威アクターは欧州委員会の侵害でほぼ同じプレイブックに従いました。組織がTrivyの侵害されたバージョンをダウンロードした後、攻撃者はAWSアカウントへの制御を与えるAWS APIキーを盗み、そこからTrufflehogを使用してさらにAWS認証情報を発見し、偵察活動を実行した上で環境からデータを流出させました。
攻撃の速度はおそらくさらに懸念すべき点です。CERT-EUのタイムラインによると、脅威アクターはECのAPIキーを3月19日に取得しました——同じ日にTeamPCPがTrivyの侵害されたバージョンの配布を開始しました。これはTrivyサプライチェーン攻撃が最初に明るみに出た日より1日前であり、オープンソーススキャナのメンテナーであるAqua Securityが正式に侵害を発表した数日前です。
SOCRadarのCISO、Ensar Seker氏は、TeamPCPサプライチェーン攻撃から「速度が本当のレッスン」だと述べています。「実際には、対応ウィンドウは今、日単位ではなく時間単位で計測されます」と彼は述べています。「最大の誤りは、悪意のあるパッケージを削除しても、盗まれた資格情報が使用可能な状態のままにしておくことです。そうなると、攻撃者はすでに隣接する環境内で活動している可能性があります。」
代わりに、Seker氏は、組織は公開されたシークレットを即座に失効させてローテーションし、すべてのトークンを無効化し、クラウド認証情報を再発行すべきだと述べています。さらに、セキュリティチームはCI/CDランナーをレビューし、GitHub Actionsとパッケージパブリッシングワークフローをインスペクトし、クラウドおよびSaaS環境で疑わしいアクティビティを検索すべきです。
TeamPCP攻撃に集約する複数の脅威グループ
攻撃の速度が十分ではないのであれば、状況はLapsus$とShinyHuntersの見かけ上の関与によってさらに不明確になっており、その性質は不明です。脅威グループに関連するXの投稿によると、TeamPCPはShinyHuntersと協力していないようであり、積極的に対立しています。
「我々が見ているのは、別のグループ間の清潔なハンドオフというより、同じアクセスの周りのサイバー犯罪エコシステムの集約のように見えます」とSeker氏は述べています。
TeamPCPが初期のサプライチェーン侵害と資格情報窃取を推進しながら、ShinyHuntersとLapsus$は現在、マネタイズと恐喝層に現れていますが、盗まれたデータをどのようにして取得したのかは明確ではありません。「この段階では、これは正式な運用上の調整を証明しませんが、高価値なアクセスや盗まれたデータがサプライチェーン侵害から出現すると、他の恐喝アクターが圧力、可視性、および潜在的な利益を拡大するために非常に迅速に移動できることを強く示唆しています」とSeker氏は述べています。
さらに水を濁らせることに、TeamPCPはVectという新興ランサムウェアギャングとの正式な同盟も発表しました。Akamaiのセキュリティ研究者、Tomer Peled氏によると、これはリスク計算を大幅に変更します。
「両方のチームが協力しているという事実は、リスク可能性を大幅に高めます」とPeled氏はDark Readingに述べています。「Vectはテンプレートのために潜在的に数百万の被害者にアクセスでき、TeamPCPのRAT経由でランサムウェアに感染させることができます。」
Akamaiが最近のブログ投稿で記述したように、侵害されたTelnyx PyPIパッケージは3段階のリモートアクセストロイの木馬(RAT)を備えており、TeamPCPとVectアクターに、その毒性あるSDKをダウンロードした他の組織への バックドアアクセスを与えます。さらに、TeamPCPがすでに保有している資格情報の量を考えると、Peled氏は、より多くの侵害されたライブラリが発見される可能性があると警告しています。「TeamPCPは盗まれた資格情報を使用して、できるだけ多くの被害者にRATをインストールしたままにします」と彼は述べています。
Seker氏は、サードパーティの脅威グループの関与が、組織がTeamPCPサプライチェーン攻撃のリスクをどのように見るかを「絶対に」変えるべきだと述べています。
「古い仮定は、ソフトウェアサプライチェーン攻撃が主にダウンストリームの整合性の問題であるというものでした」と彼は述べています。「これらの事例が示しているのは、それが、侵害されたパッケージが盗まれたシークレット、クラウドアクセス、SaaS露出、リポジトリクローニングにつながり、その後追加のアクターによる恐喝の可能性がある即座のエンタープライズ侵害の問題になることができるということです。」
翻訳元: https://www.darkreading.com/threat-intelligence/teampcp-attacks-hacker-infighting
