サイバーニュース.jp

世界のサイバーなニュースを配信

TeamPCP、クラウドの誤設定を自己増殖型サイバー犯罪プラットフォームに変貌させる

カテゴリ:

はじめに:台頭するTeamPCPの脅威

PCPcat、ShellForce、DeadCatx3といった別名を持つ脅威アクター「TeamPCP」は、2025年後半に登場したクラウドネイティブなサイバー犯罪組織です。彼らは、誤って設定されたクラウドインフラを自動化された攻撃プラットフォームへと変貌させています。従来のマルウェアグループとは異なり、TeamPCPはシステムに侵入するのではなく、公開されたDocker APIKubernetesクラスターRayダッシュボードRedisサーバー、そしてReact2Shell脆弱なアプリケーションといった「開かれたドア」を悪用します。

この組織の活動は、2025年のクリスマス頃に劇的にピークに達し、ワーム駆動型の悪用戦略を通じてクラウド環境を標的にしました。研究者たちは、標準化されたコマンドパターンを持つ攻撃者が展開したコンテナを実行している185台の侵害されたサーバーを特定し、PCPcatの自動化された展開パイプラインの信頼できる特徴を確立しました。このキャンペーンの主要なコマンド&コントロールインフラはIPアドレス67.217.57.240を中心に展開され、わずか48時間で世界中の約60,000台のサーバーが侵害されたとセキュリティチームは報告しており、その自動化と規模は前例のないものです。

TeamPCPの攻撃手法とツール

TeamPCPの攻撃チェーンは、脆弱なサービスのスキャンから始まります。次に、プロキシスクリプトを展開し、トンネリングユーティリティ、追加のスキャナー、そしてシステム再起動後も持続する永続化メカニズムをインストールします。

TeamPCPを特徴づけるのは、技術的な洗練さではなく、運用の産業化です。彼らは新しいエクスプロイトを開発するのではなく、よく知られた脆弱性と軽く修正されたオープンソースツールを活用します。彼らの武装した武器庫には、Next.jsアプリケーションに対するリモートコード実行を可能にするReact2Shell(CVE-2025-29927)、コンテナ展開のための公開されたオーケストレーションAPI、そして仮想通貨マイニング用のXMRigコマンド&コントロール用のSliverトンネリング用のFRPS/gostといった標準的なマルウェアが含まれます。

特にReact2Shell脆弱性は壊滅的な影響を与え、2025年12月の公開後数時間以内に、中国国家と関連するグループを含む複数の脅威アクターによって悪用されました。TeamPCPの自動化された悪用スクリプトは、侵害されたアプリケーションから環境変数、SSHキー、Git認証情報、クラウドプロバイダーのシークレットを体系的に収集します。

多様な収益源と被害の実態

TeamPCPは、多様な収益源を持つハイブリッドなサイバー犯罪プラットフォームとして運営されています。侵害されたインフラは、仮想通貨マイニングノード、プロキシおよびスキャンインフラ、データ流出プラットフォーム、そしてランサムウェア展開のターゲットとして同時に機能します。

彼らのTelegramチャンネル、特に約700人のメンバーを抱える「TeamPCP」とデータ流出用の「ShellForce」では、カナダ、セルビア、韓国、アラブ首長国連邦、米国の被害者から盗まれたデータベースが公開されています。分析により、侵害されたサーバーの97%がAzure (61%) とAWS (36%) で動作していることが明らかになり、このグループのクラウド優先の標的戦略が確認されました。流出したデータセットには、個人を特定できる情報、履歴書、雇用記録、ビジネスデータなどが含まれており、スピアフィッシング、アカウント乗っ取り、ID詐欺の素材となっています。特筆すべき侵害として、ShellForceは2026年1月にベトナムの求人プラットフォームJobsGOから230万件の候補者履歴書データを公開しました。

Kubernetes環境での永続化戦略

TeamPCPがKubernetes環境を侵害すると、その活動は劇的にエスカレートします。カスタムスクリプトは、Kubernetesクラスターを検出するために環境のフィンガープリンティングを実行し、その後、クラスター固有のペイロードを展開して認証情報を収集し、ポッドとネームスペースを列挙し、アクセス可能なすべてのコンテナでリモートコマンドを実行します。

マルウェアは、ホストファイルシステムをマウントする特権DaemonSetを展開することで、永続的なバックドアを確立します。これにより、クラスター全体が自己増殖型のスキャンインフラへと効果的に変換されます。脅威インテリジェンスレポートでは、「Sliver」は通常、初期感染ベクトルではなく、ポストエクスプロイト活動とオペレーターが制御する足がかりを示します。

このワームのような挙動により、単一の誤設定されたDocker APIまたは公開されたKubernetesエンドポイントが、クラウド環境全体への侵入ポイントを提供します。各侵害されたワークロードは、追加の脆弱なサービスを探索するスキャナーとなり、指数関数的な成長の可能性を生み出します。

防御策と今後の課題

TeamPCPの成功は、ゼロデイエクスプロイトではなく、基本的なセキュリティギャップに起因しています。組織は、以下のような対策によってクラウド制御プレーンを強化する必要があります。

  • Docker APIでの認証を必須にする
  • Kubernetesのネットワークポリシーを実装する
  • 特権コンテナやホストファイルシステムのマウントを防止するランタイムセキュリティ制御を強制する

検出戦略としては、不正なコンテナ展開、予期せぬKubernetes DaemonSet、クリプトマイナーによる高いCPU使用率、既知の悪意あるインフラへの外部接続を監視する必要があります。

この脅威は、クラウドセキュリティが従来のエンドポイント保護だけでは不十分であることを示しています。TeamPCPが検出された場合、組織はクラスター全体の侵害を想定し、即座の封じ込め、認証情報のローテーション、クリーンなベースラインからのインフラ再構築を実行しなければなりません。オーケストレーションAPIが公開され、シークレットがコンテナイメージに漏洩し続ける限り、脅威アクターはクラウドインフラを犯罪プラットフォームへと産業化し続けるでしょう。

元記事: https://gbhackers.com/teampcp-turns-cloud-misconfigurations/

投稿をさらに読み込む