Новый кибервымогательский червь CanisterWorm атакует Иран через уязвимые облачные сервисы

Киберпреступники используют геополитику для распространения нового вируса

Эксперты по кибербезопасности обнаружили новую атаку, направленную на Иран, которая сочетает в себе кражу данных и уничтожение информации. Группировка TeamPCP, специализирующаяся на финансово мотивированных кибератаках, использует червь CanisterWorm, способный распространяться через уязвимые облачные сервисы и наносить ущерб системам с иранским часовьм поясом или языком Фарси в качестве основного.

Как работает CanisterWorm

Червь проникает в сети через незащищённые API Docker, кластеры Kubernetes, серверы Redis и уязвимости React2Shell. После заражения он распространяется внутри корпоративных сетей, похищая учётные данные и шантажируя жертв через Telegram. По данным исследователей, основной целью становятся облачные инфраструктуры, а не конечные устройства пользователей.

По словам специалистов компании Flare, группировка не использует уникальные уязвимости, а автоматизирует уже известные методы атак.

«Сила TeamPCP заключается не в новых эксплойтах, а в масштабной автоматизации и интеграции проверенных техник. Группа превращает уязвимые облачные инфраструктуры в самораспространяющуюся криминальную экосистему», — отметил Ассаф Мораг из Flare.

Атака на Trivy: новый этап эскалации

19 марта TeamPCP совершила supply chain атаку на инструмент сканирования уязвимостей Trivy от Aqua Security, внедрив вредоносное ПО в официальные релизы на GitHub Actions. Хотя Aqua Security удалила опасные файлы, эксперты из Wiz обнаружили, что злоумышленники успели опубликовать заражённые версии, похитившие SSH-ключи, облачные учётные данные, токены Kubernetes и криптовалютные кошельки пользователей.

Новый вирусныйpayload: уничтожение данных в Иране

Исследователь из Aikido Чарли Эриксен сообщил, что техническая инфраструктура, использованная в атаке на Trivy, была задействована для развёртывания нового вредоносного payload. Если червь обнаруживает, что система находится в Иране или использует Фарси, он уничтожает данные на всех узлах кластера Kubernetes. В противном случае он просто форматирует локальный диск.

«Если червь определяет, что жертва находится в Иране и имеет доступ к кластеру Kubernetes, он уничтожает данные на каждом узле. В остальных случаях он просто стирает локальный диск», — заявил Эриксен в интервью KrebsOnSecurity.

CanisterWorm: как работает инфраструктура злоумышленников

Aikido называет инфраструктуру TeamPCP CanisterWorm, поскольку группа использует ICP-контейнеры — блокчейн-ориентированные «умные контракты», сочетающие код и данные. Эти контейнеры устойчивы к блокировкам, так как их операторы оплачивают виртуальную валюту за их поддержку. По данным исследователей, злоумышленники хвастаются своими атаками в Telegram и утверждают, что похитили данные крупных компаний, включая одну из них.

Основные угрозы CanisterWorm:

• Распространение через уязвимые облачные сервисы (Docker, Kubernetes, Redis);
• Уничтожение данных на системах с иранским часовьм поясом или Фарси;
• Похищение учётных данных и шантаж через Telegram;
• Использование блокчейн-технологий для устойчивости инфраструктуры.

Рекомендации для защиты

Эксперты рекомендуют компаниям:

• Усилить защиту облачных сервисов, особенно API Docker и Kubernetes;
• Регулярно обновлять системы и сканировать на уязвимости;
• Следить за подозрительной активностью в сетях;
• Использовать многофакторную аутентификацию и ограничивать доступ к критически важным ресурсам.