イランのシステムを標的にした破壊的マルウェアが発見
アプリケーションセキュリティ企業Aikidoの研究者が、ハッキンググループ「TeamPCP」による新たな攻撃キャンペーンを確認した。このグループはKubernetesクラスタを標的とし、イランのシステムを検出した場合にすべてのデータを消去するワイパーマルウェアを展開している。
CanisterWormとの関連性
TeamPCPは、脆弱性スキャナ「Trivy」へのサプライチェーン攻撃や、3月20日から始まったNPMベースのキャンペーン「CanisterWorm」を実行した脅威アクターとして知られる。
Aikidoの調査によれば、今回のKubernetes攻撃キャンペーンは、CanisterWormと同一のC2(コマンド&コントロール)サーバー、バックドアコード、ドロップパス(/tmp/pglog)を使用している。使用されているIPCキャニスター(tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io)も同一だ。
地政学的に標的を絞った破壊ロジック
今回のキャンペーンで特筆すべきは、イランのタイムゾーンとロケールを検出した場合にのみ発動する破壊的ペイロードの存在だ。この判定はKubernetesの有無に関わらず実行される。
Kubernetesが存在するイランのシステムの場合:
kube-system名前空間に「Host-provisioner-iran」という名称のDaemonSetを展開- 特権コンテナを使用し、ホストのルートファイルシステムを
/mnt/hostにマウント - 「kamikaze」と名付けられたAlpineコンテナが、ホストの最上位ディレクトリをすべて削除した後、強制再起動を実行
イランシステムでKubernetesが存在しない場合:
rm -rf /コマンドを--no-preserve-rootフラグ付きで実行し、アクセス可能なすべてのファイルを削除- root権限がない場合は、パスワードなしのsudo昇格を試みる
イラン以外でKubernetesが存在するシステムの場合:
- データ消去は行わず、代わりにPythonバックドアをホストのファイルシステムに書き込み
- systemdサービスとして永続化し、全ノードに感染を広げる
いずれの条件にも合致しないシステムでは、マルウェアは何も実行せずに終了する。
SSH伝播への進化
Aikidoはさらに、同一のIPCキャニスターバックドアを使用する新バージョンのマルウェアも確認している。このバージョンではKubernetesベースの横断的移動が省かれ、代わりにSSH伝播を使用。認証ログから有効な認証情報を解析し、盗んだ秘密鍵を利用して感染を拡大する。
主な侵害の指標
研究者は以下のIoC(侵害の痕跡)を公開している:
- 侵害ホストからの
StrictHostKeyChecking=noオプション付きアウトバウンドSSH接続 - ローカルサブネット内のDockerAPIポート(2375)へのアウトバウンド接続
- 認証なしDocker API経由でルートファイルシステム(
/)をhostPathとしてマウントした特権Alpineコンテナ
今回の攻撃は、地政学的な対立をサイバー攻撃に組み込む手口が高度化していることを示している。Kubernetesクラスタを運用する組織は、DaemonSetの不審な作成やDocker APIへの不正アクセスがないか至急確認することが推奨される。
元記事: TeamPCP deploys Iran-targeted wiper in Kubernetes attacks