TokyoBlackHatNews

csoonline.com 4分で読了

CERT-EUがTrivy サプライチェーン攻撃によるEuropa.euデータ侵害を明らかに

攻撃者は脆弱性スキャナーを悪用して350GBのデータを盗み、その後ダークウェブに漏洩させた。

欧州連合のコンピュータ緊急対応チームであるCERT-EUは、先週のEuropa.euプラットフォームからのデータ盗難を、Aqua SecurityのTrivy オープンソース脆弱性スキャナーに対する最近のサプライチェーン攻撃にたどり着いた。

Europa.euウェブハブをホストしているAWSクラウドインフラストラクチャに対する3月24日の攻撃により、個人名、メールアドレス、メッセージを含む350GBのデータ(圧縮時91.7GB)が盗まれたと、CERT-EUの分析によると述べられている。

Trivyの侵害により、攻撃者はAWS APIキーにアクセスでき、「欧州委員会の42の内部クライアント、およびこのサービスを使用している少なくとも29の他の欧州連合エンティティ」に関連するデータを含む、様々な欧州委員会のウェブデータへのアクセスを獲得したと述べられている。

「脅威アクターは侵害されたAWSシークレットを使用して、既存のユーザーに新しいアクセスキーを作成および添付し、検出を回避することを目的としていた。その後、彼らは偵察活動を実行した」とCERT-EUは述べた。この組織は、攻撃者が委員会に属する他のAWSアカウントに横展開した証拠を発見していない。

タイミングとAWS認証情報の関与を考慮すると、「欧州委員会とCERT-EUは、初期アクセスベクトルがTrivy サプライチェーン侵害であると高い確信度で評価しており、これはAqua Securityによってteam PCPに公開属性として付与されている」と述べられている。

その場合、盗まれたデータは攻撃の責任があるとされるグループであるTeamPCPがそれをShinyHuntersゆすり集団に漏らした後に公開され、3月28日にダークウェブに公開された。

バックドア認証情報

Trivy侵害は2月にさかのぼり、TeamPCPがTrivy のGitHub Actions環境の設定ミスを悪用し、現在CVE-2026-33634として識別されており、特権アクセストークン経由でフットホールドを確立した。Aqua Securityによると述べられている。

これを発見したAqua Securityは認証情報をローテーションしたが、このプロセス中にいくつかの認証情報が有効のままであるため、攻撃者は新しくローテーションされた認証情報を盗むことができた。

信頼されたTrivy バージョンタグを操作することで、TeamPCPはこのツールを使用しているCI/CDパイプラインに、自分たちが植え込いた認証情報を盗むマルウェアを自動的にプルダウンさせるよう強制した。

これにより、TeamPCPはAWS、GCP、Azure クラウド認証情報、Kubernetesトークン、Dockerレジストリ認証情報、データベースパスワード、TLS秘密鍵、SSHキー、暗号資産ウォレットファイルなどの様々な貴重な情報をターゲットにすることができた。Palo Alto Networksのセキュリティ研究者によると述べられている。実際のところ、攻撃者はクラウドの脆弱性と設定ミスを見つけるために使用されるツールを、それ自体が大きな脆弱性に変えていた。

CERT-EUは、Trivy侵害の影響を受けた組織に対して、既知の安全なバージョンに直ちに更新し、すべてのAWSおよび他の認証情報をローテーション し、CI/CDパイプラインのTrivy バージョンを監査し、最も重要なことにGitHub Actionsが変更可能なタグではなく不変のSHA-1ハッシュに結び付けられていることを確認するよう勧告した。

また、通常でないCloudflareトンネリング活動やデータ流出を示唆するトラフィック急増などの侵害の指標(IoC)を探すことを推奨した。

ゆすり強化

2025年後半に出現したTeamPCPの起源とより深い動機は不明のままである。盗まれたデータの漏洩は、最高入札者にデータとネットワークアクセスを販売する初期アクセスブローカーとしてスタイルを作ろうとしている可能性を示唆している。

しかし、盗まれたデータが大規模なランサムウェアグループに引き渡されたという事実は、影響を受けた組織が今後数週間でゆすりの要求の波に直面する可能性が高いことを示唆している。

その場合、これはランサムウェアが身代金を支払う用意のある被害者の割合が減少しているために圧力を受けている時代に、大きな後退となるだろう。

少なくとも1000のSaaS環境に影響を与えたと推定されるTrivy の侵害は、最近の最も重大なサプライチェーン事件の1つへと急速に変わりつつある。

被害者の数は今後数週間で増加する可能性がある。この事件に巻き込まれた他の被害者にはCisco(ソースコードを失った可能性がある)、セキュリティテスト企業Checkmarx、およびAI ゲートウェイ企業LiteLLMが含まれる。

翻訳元: https://www.csoonline.com/article/4154176/cert-eu-blames-trivy-supply-chain-attack-for-europa-eu-data-breach.html

ソース: csoonline.com
#AWS #CVE-2026-33634 #Europa.eu #GitHub Actions #TeamPCP #Trivy #クラウドセキュリティ #サプライチェーン攻撃 #データ侵害 #認証情報盗難

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活