🔍 安全洞察
网络犯罪组织TeamPCP针对伊朗发动了一场具有地缘政治色彩的恶意软件攻击。这个名为”CanisterWorm”的蠕虫能够检测受害者的时区和语言设置,一旦发现与伊朗相关,即会擦除Kubernetes集群数据或本地机器数据。这种”地理定位”攻击模式预示着网络攻击正日益与现实地缘政治冲突深度绑定,企业在云环境中面临的威胁已不仅是经济损失,更可能成为国际冲突的附带受害者。
📰 原文内容
一个以经济动机为驱动的数据盗窃和勒索组织正试图介入伊朗战争,释放出一种通过不安全云服务传播的蠕虫,在使用伊朗时区或默认语言为波斯语的感染系统上擦除数据。
专家表示,针对伊朗的恶意软件攻击活动于上周末出现,来自一个名为TeamPCP的相对较新的网络犯罪组织。2025年12月,该组织开始使用一种自我传播的蠕虫攻击暴露的Docker API、Kubernetes集群、Redis服务器和React2Shell漏洞,入侵企业云环境。然后TeamPCP试图在受害者网络中横向移动,窃取认证凭证并通过Telegram勒索受害者。
在1月份发布的TeamPCP画像中,安全公司Flare表示,该组织不是利用新漏洞或原创恶意软件,而是来自大规模自动化和集成已知攻击技术的优势。”TeamPCP的优势不在于新颖的漏洞利用或原创恶意软件,而在于大规模自动化和集成已知攻击技术,”Flare的Assaf Morag写道,”该组织将已知的漏洞、错误配置和回收工具工业化为一个云原生的攻击平台,将暴露的基础设施转变为自我传播的犯罪生态系统。”
3月19日,TeamPCP对Aqua Security的漏洞扫描器Trivy执行了供应链攻击,在GitHub actions的官方版本中注入了窃取凭证的恶意软件。Aqua Security表示已删除有害文件,但安全公司Wiz指出,攻击者能够发布恶意版本,窃取用户的SSH密钥、云凭证、Kubernetes令牌和加密货币钱包。
上周末,TeamPCP使用了与Trivy攻击相同的技术基础设施来部署新的恶意有效载荷,如果用户时区和语言设置被确定为伊朗相关,则执行清除攻击。Aikido的安全研究员Charlie Eriksen在周日发布的博文中表示,如果蠕虫组件检测到受害者在伊朗并可以访问Kubernetes集群,它将销毁该集群中每个节点的数据。
“如果没有,它只会清除本地机器,”Eriksen告诉KrebsOnSecurity。
⚠️ 声明
本文内容翻译整理自Krebs on Security。文章观点及信息来源均为原作者提供,本平台仅进行传播,如需删除请联系我们。
💬 互动引导
您如何看待网络攻击与地缘政治冲突的结合?您的企业是否考虑了此类”政治动机”攻击的风险?
欢迎在评论区分享您的安全风险管理经验!
欢迎评论区留言!!
查看评论