HackerangriffeCloud-SicherheitCyberkriminalität

TeamPCP nutzt gestohlene Zugangsdaten für Angriffe auf Cloud- und SaaS-Umgebungen

TeamPCP nutzt gestohlene Zugangsdaten für Angriffe auf Cloud- und SaaS-Umgebungen
Zusammenfassung

Die Bedrohungsgruppe TeamPCP hat ihre Angriffstaktiken erheblich eskaliert und nutzt gestohlene Anmeldedaten aus mehreren Supply-Chain-Attacken, um in Cloud- und SaaS-Umgebungen einzudringen. Nachdem die Gruppe im März erfolgreich beliebte Open-Source-Tools wie Trivy, KICS, LiteLLM und das Telnyx-PyPi-Paket mit Infostealer-Malware kompromittiert hatte, setzt sie die erbeuteten Zugangsdaten nun strategisch ein, um AWS-, Azure- und GitHub-Instanzen zu infiltrieren. Die Angreifer arbeiten mit bemerkenswertiger Geschwindigkeit: Innerhalb von nur 24 Stunden nach dem Diebstahl validieren sie die gestohlenen Anmeldedaten und beginnen mit umfassender Reconnaissance in den Cloud-Umgebungen, um Daten aus S3-Buckets und AWS Secrets Manager zu exfiltrieren. Für deutsche Unternehmen und Behörden stellt diese Entwicklung ein erhebliches Risiko dar, insbesondere für Organisationen, die die betroffenen Open-Source-Projekte einsetzen. Experten betonen die kritische Bedeutung schneller Reaktionen: Nur Organisationen, die ihre Anmeldedaten unverzüglich widerrufen und rotiert haben, konnten das Schadensausmaß begrenzen. Die Vorfälle unterstreichen die Notwendigkeit strenger Monitoring- und Revocation-Maßnahmen sowie kontinuierlicher Überwachung auf verdächtige Aktivitäten in Cloud-Infrastrukturen.

Für Organisationen weltweit, einschließlich deutscher Unternehmen, entwickelt sich TeamPCP zu einer zunehmend gefährlichen Bedrohung. Die Gruppe folgt dabei einem ausgefeilten Muster: Zunächst vergiftet sie populäre Open-Source-Projekte mit Infostealer-Malware, um Zugangsdaten, API-Schlüssel und SSH-Keys zu sammeln. Diese Daten werden dann systematisch zur Penetration von Cloud-Umgebungen missbraucht.

Das Sicherheitsunternehmen Wiz hat die jüngsten Aktivitäten detailliert dokumentiert. Am 19. März erkannte das Incident-Response-Team von Wiz erste verdächtige Aktivitäten: Die Angreifer nutzten das Open-Source-Tool Trufflehog, um die gestohlenen Credentials zu validieren — sowohl für AWS-Zugriffschlüssel als auch für Azure-Anwendungsgeheimnisse und verschiedene SaaS-Token.

Die Geschwindigkeit ist dabei bemerkenswert. Bereits 24 Stunden nach Diebstahl der Credentials begannen die Attackenten mit AWS-Discovery-Operationen. Sie führten umfangreiche Enumeration durch, erkundeten Identity-and-Access-Management-Rollen, S3-Buckets und konzentrierten sich besonders auf Amazon Elastic Container Service (ECS) Instanzen. Anschließend exfiltrierten sie Daten aus S3-Buckets und AWS Secrets Manager. Durch Missbrauch der ECS-Exec-Funktion führten die Angreifer auch Bash-Befehle und Python-Skripte in laufenden Containern aus.

Auch GitHub wurde als Angriffsziel identifiziert. TeamPCP-Akteure missbrauchten GitHub Workflows zur Code-Ausführung und nutzten Personal Access Tokens, um Repository-Klone in großem Stil zu erstellen. Dies zeigt, dass die Gruppe systematisch alle kompromittierten Umgebungen ausnutzt — unabhängig davon, ob AWS, Azure oder andere SaaS-Plattformen.

Für betroffene Organisationen gibt es eine klare Botschaft von Wiz: Geschwindigkeit ist entscheidend. Unternehmen, die schnell ihre Credentials rotiert oder widerrufen haben, konnten die Auswirkungen deutlich begrenzen. Organisationen, die von den Supply-Chain-Angriffen betroffen sind, sollten daher sofort alle Secrets rotieren und intensive Hunts nach verdächtiger Aktivität durchführen. Verdächtige Indikatoren sind ungewöhnliche VPN-Nutzung, massenhafte “git.clone”-Befehle in kurzer Zeit und auffällige Enumeration-Aktivitäten. Wiz hat Indicators of Compromise (IOCs) veröffentlicht und empfiehlt, Audit-Logging konsequent über alle Systeme hinweg zu aktivieren.

Ähnliche Artikel