MalwareCloud-SicherheitHackerangriffe

CanisterWorm: Neue Cyberkriminelle nutzen Wiper-Malware gegen Iran

CanisterWorm: Neue Cyberkriminelle nutzen Wiper-Malware gegen Iran
Zusammenfassung

Die Cybersicherheitsgemeinschaft beobachtet mit großer Besorgnis eine neue Welle von Angriffen der Gruppe TeamPCP, die sich als finanziell motivierte Cyberkriminelle nun auch in geopolitische Konflikte einmischt. Das Kernstück ihrer jüngsten Kampagne ist das sogenannte "CanisterWorm" – ein selbstverbreitendes Schadprogramm, das sich gezielt über unzureichend gesicherte Cloud-Dienste ausbreitet und auf Systemen mit iranischer Zeitzone oder Farsi als Standardsprache Daten löscht. Die Anschläge begannen dieses Wochenende und folgen auf eine Serie von Supply-Chain-Attacken, bei denen TeamPCP das Sicherheits-Scanning-Tool Trivy von Aqua Security kompromittiert hatte. Besonders beunruhigend ist die Methodik der Gruppe: Sie nutzt nicht primär neue Zero-Day-Exploits, sondern automatisiert bekannte Angriffstechniken gegen schlecht konfigurierte Cloud-Infrastrukturen in großem Maßstab – mit Azure und AWS als Hauptziele. Für deutsche Unternehmen und Behörden ist dies ein warnendes Zeichen, da viele deutsche Organisationen ebenfalls auf dieselben Cloud-Plattformen angewiesen sind. Die Vorfälle unterstreichen die wachsende Gefahr von Supply-Chain-Attacken und zeigen, wie kritisch eine robuste Cloud-Sicherheit und regelmäßige Überprüfungen von Abhängigkeiten geworden sind.

Die Cyberkriminalgruppe TeamPCP hat sich seit Dezember 2025 als professionelle Bedrohung etabliert. Das Besondere an ihrem Ansatz: Statt auf innovative Exploits zu setzen, nutzen sie Automatisierung und bekannte Schwachstellen im großen Stil. Ihr Arsenal umfasst Angriffe auf exponierte Docker-APIs, Kubernetes-Cluster, Redis-Server und die React2Shell-Schwachstelle. Hauptziele sind Cloud-Infrastrukturen statt klassischer IT-Systeme.

Die neue CanisterWorm-Kampagne nutzt eine bemerkenswerte Technik: Das Internet Computer Protocol (ICP) mit sogenannten Canistern — manipulationssichere, auf Blockchain basierende Smart Contracts. Diese dezentralisierte Infrastruktur ist äußerst widerstandsfähig gegen Takedown-Versuche und bleibt online, solange die Betreiber virtuelle Gebühren zahlen.

Besonders alarmierend ist die Supply-Chain-Attacke vom 19. März gegen Aqua Securitys Trivy-Scanner. TeamPCP injizierte Malware direkt in offizielle GitHub-Releases und stahl damit SSH-Schlüssel, Cloud-Credentials, Kubernetes-Token und Kryptowallet-Daten von Nutzern. Sicherheitsforscher Charlie Eriksen von Aikido dokumentierte, dass die gleiche technische Infrastruktur später für die Iran-bezogene Wiper-Kampagne genutzt wurde.

Die Funktionsweise von CanisterWorm ist gezielt geografisch: Erkennt die Malware die iranische Zeitzone und einen Zugriff auf Kubernetes-Cluster, löscht sie Daten auf allen Cluster-Knoten. Andernfalls beschränkt sie sich auf die Löschung lokaler Daten. Eriksen betont allerdings, dass unklar ist, ob der Wiper tatsächlich erfolgreich Daten zerstört hat — die malware-Komponenten waren nur kurzzeitig aktiv.

Gestern veröffentlichte TeamPCP auch eine Spam-Aktion mit geklauten GitHub-Accounts. Dies könnte ein Taktik sein, um bösartige Code-Pakete in GitHub-Suchergebnissen prominent zu halten. Journalist Catalin Cimpanu warnt: GitHub entwickelt sich zum Verbreitungskanal für Malware — und die Plattform hat Schwierigkeiten, böswillige Klone legitimer Projekte zu erkennen.

Für deutsche IT-Sicherheit besonders relevant: Die Häufigkeit von Supply-Chain-Attacken nimmt deutlich zu. Unternehmen sollten Cloud-Konfigurationen überprüfen, exponierte Services sichern und Abhängigkeiten von Drittanbieter-Tools kritisch bewerten.

Ähnliche Artikel