MalwareSchwachstellenCloud-Sicherheit

TeamPCP nutzt geopolitisch gezielten Wiper gegen Kubernetes-Cluster

TeamPCP nutzt geopolitisch gezielten Wiper gegen Kubernetes-Cluster
Zusammenfassung

Die Hackergruppe TeamPCP führt derzeit eine gezielte Kampagne gegen Kubernetes-Cluster durch, bei der eine bösartige Software zum Einsatz kommt, die Systeme mit iranischer Zeitzone und Spracheinstellung komplett löscht. Die Angreifer sind für mehrere Supply-Chain-Attacken verantwortlich, darunter eine Kompromittierung des Vulnerability-Scanners Trivy und die seit März laufende NPM-Kampagne „CanisterWorm". Bei der neuen Kubernetes-Attacke nutzt TeamPCP die gleiche Command-and-Control-Infrastruktur wie bei bisherigen Operationen, kombiniert diese aber mit einer geopolitisch motivierten destruktiven Komponente: Auf iranischen Systemen werden alle Datenträgerinhalte gelöscht, auf Systemen außerhalb des Iran wird stattdessen ein persistenter Backdoor installiert. Für deutsche Nutzer, Unternehmen und Behörden stellt diese Kampagne insofern ein Risiko dar, als dass Kubernetes-Umgebungen im deutschen Raum ebenfalls Ziel dieser Angriffe sein können – soweit sie über unsichere Zugänge oder anfällige Abhängigkeiten erreichbar sind. Die Erkenntnisse zeigen zudem eine neue Eskalationsstufe: Cyberkriminalität wird zunehmend mit geopolitischen Interessen verflochten, was die Notwendigkeit gezielter Sicherheitsmaßnahmen für deutsche Infrastrukturen unterstreicht.

Die Sicherheitsforscher von Aikido haben eine komplexe Malware-Kampagne dokumentiert, die Kubernetes-Cluster mit einer hochspezialisierten Payload angreift. Die technische Analyse zeigt eine ausgefeilte Angriffsstrategie, die je nach Zielumgebung unterschiedliche Destruktionsmechanismen einsetzt.

Das Herzstück der Attacke ist ein Skript, das die identische ICP-Canister-Adresse (tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io) nutzt wie die früheren CanisterWorm-Kampagnen. Dies deutet darauf hin, dass TeamPCP eine etablierte Infrastruktur für verschiedene Angriffsvektoren wiederverwendet – ein typisches Zeichen einer professionellen, gut organisierten Cyberkriminellen-Operation.

Die Malware implementiert eine Erkennungslogik, die gezielt auf iranische Systeme abzielt. Sobald das Skript eine Kombination aus iranischer Zeitzone und entsprechender Locale-Konfiguration erkennt, wird ein aggressives Lösch-Modul aktiviert. Bei Kubernetes-basierten Systemen erfolgt die Bereitstellung eines DaemonSet namens ‘Host-provisioner-iran’ im Namespace ‘kube-system’. Dieses nutzt privilegierte Container und mountet das Host-Dateisystem unter /mnt/host. Ein Alpine-Container mit dem bezeichnenden Namen ‘kamikaze’ führt dann den Befehl aus, um alle obersten Verzeichnisse des Host-Dateisystems zu löschen und das System neu zu starten.

Bei nicht-iranischen Systemen mit Kubernetes folgt die Malware einem unterschiedlichen Verfahren: Sie installiert einen Python-Backdoor als systemd-Service für persistente Präsenz im System.

Besonders relevant für IT-Verantwortliche ist die neuere Variante der Malware, die sich von Kubernetes-abhängigen Methoden abwendet und stattdessen SSH-Propagation nutzt. Das Skript scannt Authentifizierungsprotokolle nach gültigen Anmeldedaten, nutzt gestohlene Private Keys und verbindet sich mit der Flag ‘StrictHostKeyChecking=no’.

Aikido warnt vor mehreren Indikatoren für diese Aktivität: Unerwartete SSH-Ausgangsverbindungen mit deaktiviertem Host-Key-Checking, Verbindungen zur Docker-API auf Port 2375 im lokalen Subnetz und die Verwendung privilegierter Alpine-Container über unauthentifizierte Docker-APIs.

Für deutsche Unternehmen bedeutet dies eine zusätzliche Sicherheitsanforderung: Die strikte Überprüfung von geografischen Konfigurationen in Containern, die Segmentierung von Netzwerken und die kontinuierliche Überwachung von SSH-Aktivitäten sollten Teil der Sicherheitsstrategie sein.

Ähnliche Artikel