概要
TeamPCPは、最新のCanisterWormを発表し、このツールキットがイランに特化した破壊機能を持つようになりました。この新たな脅威は、Kubernetesクラスター全体を一瞬で無効にする能力を持っています。
新しい攻撃の仕組み
CanisterWormは、以前のTrivyとNPM CanisterWormインシデントと同じインターネットコンピュータプロトコル(ICP)カナスターC2およびバックドアインフラストラクチャを使用しています。しかし、新しいバージョンではタイムゾーンやロケールに基づく選択的な破壊ロジックが追加されています。
攻撃のステージ
- 初期ステージ: Cloudflareバックエンドインフラストラクチャからbashスタガー(kamikaze.sh)を取得し、kubectlの存在を確認します。
- 次に: Pythonコントローラスクリプト(kube.py)をダウンロードし、ICPカナスターと通信して破壊またはバックドアの展開を行います。
Kubernetesクラスターへの影響
この新しいPayloadは、イラン向けに特別に設計されています。Kubernetesクラスター上で動作すると、privileged DaemonSet(host-provisioner-iran)を作成し、ノード全体を破壊します。
非イランのクラスターへの影響
非イランのクラスターでは、別のDaemonSet(host-provisioner-std)が作成され、バックドアを設置して持続性を確保します。これにより、攻撃者は後でシステムにアクセスすることができます。
地理的な影響
イランのホストでは、ファイルシステム全体を削除するrm -rf /コマンドが実行されます。一方、非イランのシステムは完全に無視され、破壊から保護されています。
拡散メカニズム
新しいバージョンでは、Kubernetesを必要としないネットワークワーム型の拡散が可能になりました。SSHログイン情報を利用して他のシステムに展開し、Docker APIを介してホストルートファイルシステムにアクセスします。
防御策
組織は:
- kube-system DaemonSetsの監視と異常なエントリの検出。
- systemdサービスやファイル、プロセス名などのチェック。
- ICP0.ioへのアウトバウンドトラフィックやクラウドフレアトンネルドメインからの不審なSSH活動の監視。
さらに:
- 暴露されたDocker API(ポート2375)をロックダウンして、privileged containerの悪用を防ぎます。