Ny cybertrussel: CanisterWorm angriber iranske systemer via sårbare cloud-tjenester

CanisterWorm udnytter sårbare cloud-tjenester til at angribe Iran

En ny cyberkriminel gruppe, TeamPCP, har lanceret et målrettet cyberangreb mod Iran ved hjælp af en avanceret wiper-malware kaldet CanisterWorm. Angrebet spreder sig via usikrede cloud-tjenester og sletter data på inficerede systemer, der bruger Irans tidszone eller har Farsi som standardsprog.

Angrebet udnytter kendte sårbarheder

Ifølge eksperter fra sikkerhedsfirmaet Flare begyndte TeamPCP i december 2025 at kompromittere virksomheders cloud-miljøer ved at udnytte eksponerede Docker API’er, Kubernetes-klynger, Redis-servere og sårbarheden React2Shell. Gruppen forsøgte derefter at bevæge sig lateral gennem offerets netværk for at stjæle autentifikationsoplysninger og udpresse ofre via Telegram.

TeamPCP’s angrebsmetoder adskiller sig ved at fokusere på cloud-infrastruktur frem for slutbrugerenheder. Ifølge Flare stod Azure (61%) og AWS (36%) for 97% af de kompromitterede servere. Gruppen udnytter ikke nye exploits eller original malware, men automatiserer i stedet velkendte angrebsteknikker til at skabe en cloud-baseret kriminel platform.

Supply chain-angreb ramte sårbarhedsscanner Trivy

Den 19. marts udførte TeamPCP et supply chain-angreb mod sårbarhedsscanneren Trivy fra Aqua Security. Gruppen injicerede malware, der stjal SSH-nøgler, cloud-oplysninger, Kubernetes-tokens og kryptovaluta-tegnebøger fra brugere. Selvom Aqua Security senere fjernede de skadelige filer, havde angriberne allerede publiceret ondsindede versioner af Trivy.

Sikkerhedsfirmaet Wiz påpeger, at angrebet viste, hvor effektivt TeamPCP kan udnytte eksisterende sårbarheder i supply chains for at sprede malware.

CanisterWorm ødelægger data på iranske systemer

Over weekenden blev den samme tekniske infrastruktur, som TeamPCP brugte i Trivy-angrebet, anvendt til at distribuere en ny ondsindet payload. Denne malware, CanisterWorm, udfører et wiper-angreb, hvis offerets tidszone og sprogindstillinger matcher Iran.

Ifølge sikkerhedsforskeren Charlie Eriksen fra Aikido vil CanisterWorm slette data på alle noder i en Kubernetes-klynge, hvis offeret befinder sig i Iran og har adgang til en sådan klynge. Hvis ikke, vil den blot slette data på den lokale maskine.

ICP-canister gør angrebet svært at stoppe

Aikido henviser til TeamPCP’s infrastruktur som "CanisterWorm", fordi gruppen anvender Internet Computer Protocol (ICP)-canister til at koordinere deres angreb. Disse canister er blockchain-baserede "smart contracts", der kombinerer kode og data og kan servere webindhold direkte til besøgende. Deres distribuerede arkitektur gør dem modstandsdygtige over for nedlukningsforsøg, så længe operatørerne fortsætter med at betale for at holde dem online.

Eriksen oplyser, at TeamPCP’s medlemmer har pralet med deres angreb i en Telegram-gruppe og påstår at have stjålet store mængder følsomme data fra store virksomheder, herunder et ukendt antal ofre i Iran.

Sådan beskytter du dig mod CanisterWorm

• Opdater dine systemer regelmæssigt for at lukke kendte sårbarheder i Docker, Kubernetes og Redis.
• Overvåg cloud-miljøer for mistænkelig aktivitet, især eksponerede API’er og klare tekst-adgangskoder.
• Brug multi-faktor-autentifikation (MFA) for at forhindre uautoriseret adgang til dine systemer.
• Sikkerhedskopier data regelmæssigt og test gendannelsesprocessen for at minimere skader ved et wiper-angreb.
• Vær opmærksom på supply chain-angreb og scan tredjepartssoftware for ondsindet kode før installation.

"TeamPCP industrialiserer eksisterende sårbarheder og misconfigurations til en cloud-baseret kriminel platform. Deres styrke ligger i automatisering og integration af velkendte angrebsteknikker."
Assaf Morag, sikkerhedsforsker hos Flare