📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de hackers TeamPCP tem como alvo clusters Kubernetes com um script malicioso que limpa todas as máquinas ao detectar sistemas configurados para o Irã.
O ator da ameaça é responsável pelo recente ataque à cadeia de suprimentos ao scanner de vulnerabilidade Trivy e também por uma campanha baseada em NPM chamada ‘CanisterWorm’, que começou em 20 de março.
Carga útil de destruição seletiva
Pesquisadores da empresa de segurança de aplicativos Aikido dizem que a campanha direcionada aos clusters Kubernetes usa o mesmo comando e controle (C2), código de backdoor e caminho de descarte visto nos incidentes do CanisterWorm.
No entanto, a nova campanha difere porque inclui uma carga destrutiva direcionada aos sistemas iranianos e instala o backdoor CanisterWorm em nós em outros locais.
"O script usa exatamente o mesmo recipiente ICP (tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io) que documentamos na campanha CanisterWorm. O mesmo C2, o mesmo código backdoor, o mesmo /tmp/pglog drop path", diz Aikido.
“O movimento lateral nativo do Kubernetes via DaemonSets é consistente com o manual conhecido do TeamPCP, mas esta variante adiciona algo que não vimos deles antes: uma carga útil destrutiva geopoliticamente direcionada, destinada especificamente aos sistemas iranianos.”
De acordo com os pesquisadores do Aikido, o malware foi desenvolvido para destruir qualquer máquina que corresponda ao fuso horário e local do Irã, independentemente de o Kuberenetes estar presente ou não.
Se ambas as condições forem atendidas, o script implanta um DaemonSet chamado ‘Host-provisioner-iran’ em ‘kube-system’, que usa contêineres privilegiados e monta o sistema de arquivos raiz do host em /mnt/host.
Cada pod executa um contêiner Alpine chamado ‘kamikaze’ que exclui todos os diretórios de nível superior no sistema de arquivos do host e, em seguida, força uma reinicialização no host.
Se o Kubernetes estiver presente, mas o sistema for identificado como não iraniano, o malware implanta um DaemonSet chamado ‘host-provisioner-std’ usando contêineres privilegiados com o sistema de arquivos host montado.
Em vez de limpar os dados, cada pod grava um backdoor Python no sistema de arquivos host e o instala como um serviço systemd para que persista em cada nó.
Em sistemas iranianos sem Kubernetes, o malware exclui todos os arquivos da máquina, incluindo dados do sistema, acessíveis ao usuário atual executando o comando rm -rf/ com o sinalizador --no-preserve-root. Se os privilégios de root não estiverem disponíveis, ele tenta o sudo sem senha.
TeamPCP limpando sistemas iranianos sem Kubernetesfonte: Aikido
Em sistemas onde nenhuma das condições é atendida, nenhuma ação maliciosa é executada e o malware simplesmente sai.
Aikido relata que uma versão recente do malware, que usa o mesmo backdoor de caixa ICP, omitiu o movimento lateral baseado em Kubernetes e, em vez disso, usa propagação SSH, analisando logs de autenticação em busca de credenciais válidas e usando chaves privadas roubadas.
Os pesquisadores destacaram alguns indicadores-chave dessa atividade, incluindo conexões SSH de saída com ‘StrictHostKeyChecking+no’ de hosts comprometidos, conexões de saída para a API Docker na porta 2375 na sub-rede local e contêineres Alpine privilegiados por meio de uma API Docker não autenticada com / montada como hostPath.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
O ator da ameaça é responsável pelo recente ataque à cadeia de suprimentos ao scanner de vulnerabilidade Trivy e também por uma campanha baseada em NPM chamada ‘CanisterWorm’, que começou em 20 de março.
Carga útil de destruição seletiva
Pesquisadores da empresa de segurança de aplicativos Aikido dizem que a campanha direcionada aos clusters Kubernetes usa o mesmo comando e controle (C2), código de backdoor e caminho de descarte visto nos incidentes do CanisterWorm.
No entanto, a nova campanha difere porque inclui uma carga destrutiva direcionada aos sistemas iranianos e instala o backdoor CanisterWorm em nós em outros locais.
"O script usa exatamente o mesmo recipiente ICP (tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io) que documentamos na campanha CanisterWorm. O mesmo C2, o mesmo código backdoor, o mesmo /tmp/pglog drop path", diz Aikido.
“O movimento lateral nativo do Kubernetes via DaemonSets é consistente com o manual conhecido do TeamPCP, mas esta variante adiciona algo que não vimos deles antes: uma carga útil destrutiva geopoliticamente direcionada, destinada especificamente aos sistemas iranianos.”
De acordo com os pesquisadores do Aikido, o malware foi desenvolvido para destruir qualquer máquina que corresponda ao fuso horário e local do Irã, independentemente de o Kuberenetes estar presente ou não.
Se ambas as condições forem atendidas, o script implanta um DaemonSet chamado ‘Host-provisioner-iran’ em ‘kube-system’, que usa contêineres privilegiados e monta o sistema de arquivos raiz do host em /mnt/host.
Cada pod executa um contêiner Alpine chamado ‘kamikaze’ que exclui todos os diretórios de nível superior no sistema de arquivos do host e, em seguida, força uma reinicialização no host.
Se o Kubernetes estiver presente, mas o sistema for identificado como não iraniano, o malware implanta um DaemonSet chamado ‘host-provisioner-std’ usando contêineres privilegiados com o sistema de arquivos host montado.
Em vez de limpar os dados, cada pod grava um backdoor Python no sistema de arquivos host e o instala como um serviço systemd para que persista em cada nó.
Em sistemas iranianos sem Kubernetes, o malware exclui todos os arquivos da máquina, incluindo dados do sistema, acessíveis ao usuário atual executando o comando rm -rf/ com o sinalizador --no-preserve-root. Se os privilégios de root não estiverem disponíveis, ele tenta o sudo sem senha.
TeamPCP limpando sistemas iranianos sem Kubernetesfonte: Aikido
Em sistemas onde nenhuma das condições é atendida, nenhuma ação maliciosa é executada e o malware simplesmente sai.
Aikido relata que uma versão recente do malware, que usa o mesmo backdoor de caixa ICP, omitiu o movimento lateral baseado em Kubernetes e, em vez disso, usa propagação SSH, analisando logs de autenticação em busca de credenciais válidas e usando chaves privadas roubadas.
Os pesquisadores destacaram alguns indicadores-chave dessa atividade, incluindo conexões SSH de saída com ‘StrictHostKeyChecking+no’ de hosts comprometidos, conexões de saída para a API Docker na porta 2375 na sub-rede local e contêineres Alpine privilegiados por meio de uma API Docker não autenticada com / montada como hostPath.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #teampcp #implanta #limpador #direcionado #ao #irã #em #ataques #kubernetes
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário