هجمات إلكترونية أمن السحابة Cybersecurity TeamPCP CanisterWorm هجمات Iran Kubernetes Docker Trivy

هجوم 'CanisterWorm' يستهدف إيران عبر السحابة

شنّت مجموعة إجرامية تدعى TeamPCP هجوماً إلكترونياً مدمراً يستهدف أنظمة في إيران، مستغلةً خدمات السحابة غير الآمنة. ينتشر الدودة CanisterWorm عبر أنظمة Kubernetes وDocker وRedis، ويقوم بمسح البيانات بالكامل من الأجهزة التي تستخدم التوقيت الإيراني أو اللغة الفارسية.

تطور الهجوم عبر الزمن

بدأت المجموعة نشاطها في ديسمبر 2025، حيث استهدفت بيئات السحابة الضعيفة باستخدام دودة ذاتية الانتشار. استغلت المجموعة ثغرات معروفة مثل React2Shell للوصول إلى خوادم Azure (61%) وAWS (36%).

قال Assaf Morag من شركة Flare، في تقرير نشر في يناير: «قوة TeamPCP لا تكمن في اختراقات جديدة أو برمجيات خبيثة مبتكرة، بل في الأتمتة واسعة النطاق ودمج تقنيات هجوم معروفة». وأضاف: «المجموعة تحول نقاط الضعف المعروفة وسوء التهيئة والأدوات المعاد تدويرها إلى منصة استغلال سحابية، تحول البنية التحتية المعرضة إلى نظام إجرامي ذاتي الانتشار».

الهجوم على أداة Trivy

في 19 مارس، نفذت المجموعة هجوماً على سلسلة التوريد ضد أداة فحص الثغرات Trivy التابعة لشركة Aqua Security. تم حقن برمجيات خبيثة لسرقة بيانات الاعتماد في إصدارات رسمية على GitHub Actions. رغم إزالة الملفات الضارة لاحقاً، تمكنت المجموعة من نشر إصدارات خبيثة استولت على مفاتيح SSH وشهادات السحابة ورموز Kubernetes ومحافظ العملات الرقمية.

الدودة CanisterWorm: آلية التدمير

أوضح الباحث الأمني Charlie Eriksen من شركة Aikido أن البنية التقنية نفسها المستخدمة في هجوم Trivy تم توظيفها لنشر حمولة خبيثة جديدة. إذا اكتشف الدودة أن الضحية في إيران ولديها وصول إلى Kubernetes، فإنه يدمر البيانات على جميع العقد في ذلك العنقود. وإلا، فإنه يمسح الجهاز المحلي بالكامل.

«إذا لم يكن هناك وصول إلى Kubernetes، فإن الدودة ستقوم بمسح الجهاز المحلي فقط».

Charlie Eriksen, باحث أمني في Aikido

CanisterWorm: البنية التحتية الفريدة

أطلقت شركة Aikido على البنية التحتية لـ TeamPCP اسم CanisterWorm لأنها تعتمد على ICP Canisters، وهي عقود ذكية قائمة على تقنية blockchain. هذه العقود مقاومة للإغلاق طالما استمر المهاجمون في دفع رسوم العملات الرقمية للحفاظ عليها نشطة.

قال Eriksen إن أعضاء TeamPCP يتفاخرون بإنجازاتهم في مجموعات على Telegram، ويدعون أنهم استولوا على كميات هائلة من البيانات الحساسة من شركات كبرى، بما في ذلك شركة مايكروسوفت.

تحذيرات أمنية وتوصيات

  • تحديث أنظمة السحابة وإغلاق واجهة برمجة التطبيقات (API) غير الآمنة.
  • مراقبة حركة المرور المشبوهة في شبكات Kubernetes وDocker.
  • استخدام أدوات فحص الثغرات مثل Trivy بانتظام.
  • تطبيق مبدأ أقل الامتيازات (Least Privilege) لتقليل فرص الوصول غير المصرح به.
  • توعية الموظفين حول مخاطر هجمات سلسلة التوريد والبرمجيات الخبيثة.
المصدر: Krebs on Security
الشرطة الدولية توقف شبكات بوتات إنترنت الأشياء المسؤولة عن هجمات حرمان الخدمة الضخمة
← السابق

الشرطة الدولية توقف شبكات بوتات إنترنت الأشياء المسؤولة عن هجمات حرمان...

 اكتشاف خلايا عصبية نادرة تعيد الحركة للأطراف بعد إصابات النخاع الشوكي
التالي →

اكتشاف خلايا عصبية نادرة تعيد الحركة للأطراف بعد إصابات النخاع الشوكي