Vor Tagen haben Sicherheitsforscher eine Kampagne enthüllt, die seitliche Bewegungstechniken in Cloud-native Umgebungen mit einer bewusst destruktiven Nutzlast verbindet, die auf iranische Systeme ausgerichtet ist. Die von der Firma dokumentierte Feststellung Aikido, ordnet die Operation der Gruppe, die als TeamPCP bekannt ist, zu und bezieht sie auf frühere Aktivitäten, die Open Source-Tools und NPM-Pakete unter dem informellen Namen "CanisterWorm".
Die Bedrohung verbindet zwei Seiten: In Kubernetes Umgebungen nutzt es native Mechanismen zu verbreiten und zu bestehen; außerhalb Kubernetes, aktiviert es einen Massenlöschmechanismus, der Maschinen nutzlos lassen kann, wenn es bestimmte Spuren des Systems erkennt.
Laut technischer Analyse versucht Malware zunächst zu bestimmen, ob der Computer dem Iran entspricht, indem die Zeit- und Regionalzoneneinstellungen überprüft werden. Wenn Sie diese Signale erkennen und Kubernetes in der Maschine existiert, setzen Sie ein DaemonSet innerhalb des Systemraums ein, der das Host-Dateisystem einstellt und privilegierte Container startet. Jeder dieser Behälter läuft ein minimales Bild (Alpine) mit einer Binärdatei, die die Haupteingänge der Host-Disk auslöscht und einen Neustart, einen Manöver zwingt, der in der Praxis Knoten und unlösbare Anwendungen verlassen kann.
Auf der anderen Seite, wenn das System nicht als iranisch identifiziert, aber hat Kubernetes, wird die gleiche Ausbreitungsinfrastruktur wieder verwendet, um eine persistente Komponente zu installieren: eine Hintertür in Python geschrieben, die im Dateisystem verbleibt und als Systemdienst aufgezeichnet wird, um Reworks zu überleben. Diese doppelte Strategie - zu löschen, wo es als "objektiv" betrachtet wird und, wo es nicht ist - bestätigt die selektive und orientierte Natur der Kampagne.
Der Schauspieler ist nicht auf Kubernetes beschränkt: Aikido dokumentiert auch Varianten, die auf die DaemonSet-basierte seitliche Bewegung verzichten und auf traditionelle SSH-Vermehrungsmechanismen zurückgreifen. In diesen Fällen scannt Malware-Authentifizierungsdaten für gültige Anmeldeinformationen, verwendet kompromittierte private Schlüssel wieder und stellt ausgehende SSH-Verbindungen mit Optionen fest, die Host Footprint-Checks vermeiden (z.B. mit StritHostKeyChecking = Nein). Ein weiterer Kanal der Erweiterung identifiziert ist die Verwendung von exponierten Docker APIs (in der Regel Port 2375 ohne TLS), die erlauben, privilegierte Container zu booten und den Host als Volumen zu montieren, die die destruktive Wirkung außerhalb des Kubernetes Ökosystems wiedergibt.
Es sind spezifische Indikatoren zu überwachen: unter ihnen, Aktivität im ausgehenden Netzwerk in Richtung der Befehls- und Kontrollinfrastruktur bereits mit CanisterWorm verbunden, das Aussehen von DaemonSet mit verdächtigen Namen wie "Host-proviser-Iran" oder "Host-proviser-std" im Namenspace kube-system, Alpine Container markiert "kamikaze", temporäre Dateien auf dem Typ / tmp / pglog Routen und Verbindungen zu AP375is Docker im Port 2 Aikido verweist auch auf einen speziellen Kanister, der als C2 verwendet wird; sein Bericht liefert mehr technische Details und IOCs Artefakte für Antwortgeräte: Aikido Bericht.
Um zu kontextualisieren, was diese Kampagne nutzt, ist es wichtig zu erinnern, wie einige Schlüsselelemente von Kubernetes und Docker arbeiten. Die DaemonSet sind Kubernetes Objekte, die sicherstellen, dass ein Pod in jedem Knoten ausgeführt wird, so sind sie in den Händen eines privilegierten Angreifers eine effektive Möglichkeit, Code in allen Hosts eines Clusters auszuführen; die offizielle Dokumentation erklärt sein Design und Risiken: DaemonSet in Kubernetes' Dokumentation. Andererseits erlaubt die Verwendung von WirtPath-Volumen, das Host-Dateisystem in einen Container zu montieren, den Prozess innerhalb des Containers direkt zu manipulieren Systemdateien: Hostel in Kubernetes.
Auf der Seite von Containern und Laufzeiten ist die Belichtung der Docker API ohne Authentifizierung (in der Regel über Port 2375) eine bekannte und gefährliche Praxis: dass API erlaubt, Container zu verwalten und den Host vor dem Netzwerk zu montieren, wenn es nicht geschützt ist. Dockers offizielle Anleitungen umfassen Sicherheitsempfehlungen, um diese Szenarien zu mildern: Docker Motorsicherheit.
Was können Teams und Administratoren jetzt tun? Zuerst, Audit Genehmigungen und Zugriff auf Cluster-Ebene: überprüfen, wer DaemonSet erstellen oder den Namenspace kube-system ändern kann und strenge RBAC-Kontrollen anwenden, um unbefugte Prozesse daran zu hindern, Objekte mit hohen Privilegien zu erstellen. Es ist wichtig, den unauthenticated Zugriff auf die Container-Laufzeit-API zu blockieren und das Netzwerk zu segmentieren, damit ein engagierter Host keine administrativen APIs im Subnetz anrufen kann. Überwachen Sie die Schaffung ungewöhnlicher Ressourcen (Namen, Alpenbilder, die mit Privilegien ausgeführt werden, /) und erstellen Sie Warnungen über ausgehende SSH-Verbindungen mit Optionen, die Druckkontrollen deaktivieren sind praktische und hohe Auswirkungen Gegenmaßnahmen.
Darüber hinaus bleiben grundlegende Hygienepraktiken essentiell: Rotation und Schutz von privaten Schlüsseln, deaktivieren Sie passwortfreie Sudo, wenden Sie Updates und Patches an die verwendeten Supply Chain-Tools (wenn der Schauspieler bereits Interesse an Open Source-Projekten gezeigt hat, schützen diese Ströme ist kritisch) und speichern Sie Audits außerhalb der Reichweite einzelner Knoten, um die Nachverpflichtungsforschung zu erleichtern.
Diese Kampagne ist eine Erinnerung daran, dass die Sicherheit in Cloud-Native Umgebungen nicht mehr nur eine Frage der Anwendung von Patches ist: Es ist notwendig, Verteidigungen zu entwerfen, die die Orchestrationsmechanismen berücksichtigen, die Ausstellung von APIs der Laufzeit und die Möglichkeit, dass ein Gegner Techniken der Ausdauer und Zerstörung kombiniert. Für diejenigen, die die technische Analyse und Indikatoren vertiefen möchten, bietet der Aikido-Bericht eine detaillierte Aufschlüsselung: Aikido's Bericht lesen.
Wenn Sie kritische Infrastruktur oder Kubernetes-Cluster verwalten, handeln Sie mit Priorität: Überprüfen Sie die RBAC-Regeln, schließen Sie und stellen Sie sicher, dass Dockers APIs nicht ohne Schutz zugänglich sind, überwachen Sie Protokolle und Warnungen für abnormes Verhalten und erstellen Sie einen Antwortplan, der die Möglichkeit bietet, Massendaten zu löschen. Die Kombination von politischen Absichten und automatisierten Techniken, die durch diese Kampagne gezeigt werden, erhöht das Risiko und erfordert eine koordinierte Reaktion zwischen Managern, Sicherheitsteams und Dienstleistern.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...