A TeamPCP hackercsoport támadásra készül az iráni rendszerek ellen

Szelektív pusztítási módszer

Az Aikido kiberbiztonsági szakemberei felhívták a figyelmet arra, hogy a támadás pontosan ugyanazt a parancs- és vezérlőinfrastruktúrát, hátsóajtó-kódot és fájllehelyezési útvonalat használja, mint a CanisterWorm. A különbség abban rejlik, hogy most egy, kifejezetten iráni rendszereket megcélzó pusztító komponens is bekerült az arzenálba, míg más országok esetén csak hátsóajtó települ. Külön figyelmet érdemel, hogy minden olyan gépen elindul a törlés, ahol az időzóna- és nyelvi beállítások Iránnak felelnek meg – függetlenül attól, hogy fut-e Kubernetes, vagy sem.

Kubernetes és azon kívül is törölnek

Ezután, ha az adott rendszer iráni gépnek minősül, a szkript DaemonSetet indít „Host-provisioner-iran” néven, amely hozzáfér a teljes rendszerfájlokhoz. Egy „kamikaze” nevű Alpine-konténer törli a főbb könyvtárakat, majd leállítja a gépet. Ha ugyan fut a Kubernetes, de nem iráni rendszert találnak, akkor egy Python-alapú hátsóajtót helyeznek el automatikusan induló szolgáltatásként. Iráni rendszer Kubernetes nélkül? Ott minden fájlt törölnek, a legmagasabb jogosultsággal próbálkozva.

Terjedési technika, árulkodó jelek

A TeamPCP legújabb kártevői már SSH-hitelesítési naplókat böngésznek, privát kulcsokat lopnak, majd jelszó nélküli kapcsolatokkal terjeszkednek a hálózaton. Árulkodó karakterlánc a „StrictHostKeyChecking=no” SSH-kapcsolat a fertőzött gépekről, illetve a Docker API 2375-ös portján keresztüli próbálkozások. Privilegizált Alpine-konténerek és váratlan hostPath-mountok szintén gyanúsak lehetnek az ilyen támadásoknál.

2026, adrienne, www.bleepingcomputer.com alapján