サイバーニュース.jp

世界のサイバーなニュースを配信

「TeamPCP」ワームがクラウドインフラを悪用し犯罪インフラを構築

カテゴリ:

概要

サイバーセキュリティ研究者たちは、クラウドネイティブ環境を体系的に標的とし、その後の悪用を目的とした悪意のあるインフラを構築する「大規模なキャンペーン」に警鐘を鳴らしています。

この活動は2025年12月25日頃に観測され、「ワーム駆動型」と表現されており、露出したDocker API、Kubernetesクラスター、Rayダッシュボード、Redisサーバーに加え、最近開示されたReact2Shell(CVE-2025-55182、CVSSスコア: 10.0)の脆弱性が悪用されました。

このキャンペーンは、TeamPCP(別名 DeadCatx3、PCPcat、PersyPCP、ShellForce)として知られる脅威グループに帰属するとされています。

TeamPCPの活動と目的

TeamPCPは少なくとも2025年11月から活動しており、Telegramでの活動の最初の痕跡は2025年7月30日にまで遡ります。TeamPCPのTelegramチャンネルには現在700人以上のメンバーがおり、グループはカナダ、セルビア、韓国、アラブ首長国連邦、米国の多様な被害者から盗んだデータを公開しています。

この脅威アクターの詳細は、2025年12月にBeelzebubによって「Operation PCPcat」という名前で初めて文書化されました。Flareのセキュリティ研究者Assaf Morag氏は先週発表されたレポートで、「この作戦の目標は、大規模な分散型プロキシおよびスキャンインフラを構築し、その後サーバーを侵害してデータを流出させ、ランサムウェアを展開し、恐喝を行い、仮想通貨をマイニングすることでした」と述べています。

感染経路と悪用されるリソース

TeamPCPはクラウドネイティブなサイバー犯罪プラットフォームとして機能し、誤設定されたDocker API、Kubernetes API、Rayダッシュボード、Redisサーバー、脆弱なReact/Next.jsアプリケーションを主な感染経路として活用し、現代のクラウドインフラを侵害してデータ窃盗や恐喝を促進しています。

さらに、侵害されたインフラは、仮想通貨マイニングやデータホスティングから、プロキシやコマンド&コントロール(C2)のリレーに至るまで、幅広い目的で悪用されています。

攻撃手法と次段階のペイロード

TeamPCPは、斬新な手口を用いるのではなく、既存のツール、既知の脆弱性、一般的な誤設定といった実績のある攻撃手法に頼ることで、プロセス全体を自動化し産業化する悪用プラットフォームを構築しています。これにより、露出したインフラは「自己増殖型の犯罪エコシステム」に変容するとFlareは指摘しています。

悪用に成功すると、外部サーバーから次段階のペイロードが展開されます。これには、さらなる拡大のために新しいターゲットを探すシェルスクリプトやPythonベースのスクリプトが含まれます。主要なコンポーネントの1つは「proxy.sh」で、これはプロキシ、P2P(ピアツーピア)、トンネリングユーティリティをインストールし、脆弱なサーバーを継続的にインターネット上で探索するための様々なスキャナーを配信します。Morag氏は、「特にproxy.shは、実行時に環境のフィンガープリンティングを実行します。実行の早い段階で、それがKubernetesクラスター内で実行されているかどうかを確認します」と述べています。

「Kubernetes環境が検出された場合、スクリプトは別の実行パスに分岐し、クラスター固有のセカンダリペイロードをドロップします。これは、TeamPCPが一般的なLinuxマルウェアに頼るのではなく、クラウドネイティブターゲットに対して個別のツールと手口を維持していることを示しています。」

その他のペイロードの簡単な説明は以下の通りです:

  • scanner.py: 「DeadCatx3」というGitHubアカウントからCIDRリストをダウンロードすることで、誤設定されたDocker APIとRayダッシュボードを発見するように設計されており、仮想通貨マイナー(「mine.sh」)を実行するオプションも備えています。
  • kube.py: Kubernetes固有の機能を含み、クラスター認証情報の収集や、Podや名前空間などのリソースのAPIベースの発見を実施します。その後、より広範な拡散のためにアクセス可能なPodに「proxy.sh」をドロップし、ホストをマウントする特権Podを展開することで永続的なバックドアを設定します。
  • react.py: Reactの脆弱性(CVE-2025-29927)を悪用し、大規模なリモートコード実行(RCE)を実現するように設計されています。
  • pcpcat.py: 大規模なIPアドレス範囲で露出したDocker APIとRayダッシュボードを発見し、Base64エンコードされたペイロードを実行する悪意のあるコンテナまたはジョブを自動的にデプロイするように設計されています。

指令サーバーと標的

Flareによると、67.217.57[.]240にあるC2(コマンド&コントロール)サーバーノードは、脅威アクターによってポストエクスプロイト目的で悪用されることが知られているオープンソースのC2フレームワークであるSliverの運用にも関連付けられています。

サイバーセキュリティ企業からのデータは、脅威アクターが主にAmazon Web Services (AWS) とMicrosoft Azure環境を標的にしていることを示しています。これらの攻撃は日和見主義的な性質を持つと評価されており、特定の業界を狙うというよりも、その目標をサポートするインフラを主に標的としています。その結果、そのようなインフラを運用する組織は、このプロセスにおいて「巻き添えの被害者」となります。

結び

Morag氏は、「PCPcatキャンペーンは、現代のクラウドインフラ向けに特別に構築された、スキャン、悪用、永続化、トンネリング、データ窃盗、収益化の全ライフサイクルを示しています」と述べています。「TeamPCPを危険にしているのは、技術的な新規性ではなく、その運用面での統合と規模です。詳細な分析によると、彼らのエクスプロイトとマルウェアのほとんどは、よく知られた脆弱性と軽く修正されたオープンソースツールに基づいています。」

「同時に、TeamPCPはインフラの悪用とデータ窃盗、恐喝を融合させています。漏洩した履歴書データベース、ID記録、企業データは、ShellForceを通じてランサムウェア、詐欺、サイバー犯罪の評判構築を促進するために公開されています。このハイブリッドモデルにより、グループはコンピューティングリソースと情報の両方から収益化することができ、複数の収益源とテイクダウンに対する耐性を得ています。」

元記事: https://thehackernews.com/2026/02/teampcp-worm-exploits-cloud.html

投稿をさらに読み込む