Новая хакерская группа развернула масштабную атаку в интернете, распространяя никогда ранее не встречавшийся самораспространяющийся бэкдор. При этом в коде присутствует компонент для полного уничтожения данных — но только на машинах, связанных с Ираном.

Команда TeamPCP и её методы

Группу, известную под именем TeamPCP, впервые заметили в декабре. Исследователи из компании Flare зафиксировали, как она запустила червя, атакующего незащищённые облачные платформы. Цель — создать распределённую инфраструктуру прокси и сканирования, которую затем используют для взлома серверов, кражи данных, установки вымогательского ПО, шантажа и майнинга криптовалют.

TeamPCP выделяется высоким уровнем автоматизации и умением эффективно комбинировать уже известные методы атак.

Постоянная эволюция угрозы

Недавно активность TeamPCP резко усилилась. Группа начала использовать постоянно модернизируемый вредонос, позволяющий захватывать всё больше систем. На прошлой неделе злоумышленники провели атаку через цепочку поставок: они получили привилегированный доступ к аккаунту GitHub компании Aqua Security — разработчика популярного сканера уязвимостей Trivy — и заразили практически все его версии.

В выходные исследователи обнаружили, что TeamPCP распространяет мощный червь, способный автоматически заражать новые машины без какого-либо участия пользователя. После проникновения вредонос ищет на устройстве токены доступа к репозиторию npm и взламывает все пакеты, в которые можно публиковать обновления. Для этого он создаёт новую версию пакета, внедряя в неё вредоносный код. Система Aikido зафиксировала, как червь атаковал 28 пакетов менее чем за минуту.

Изначально злоумышленникам приходилось вручную запускать распространение червя по каждому пакету, к которому давал доступ токен. Но в версиях, появившихся в выходные, эта необходимость исчезла — теперь заражение идёт полностью автономно, охватывая ещё больше систем.

Управление через неуязвимый смарт-контракт

Червь управляется необычным, устойчивым к вмешательству механизмом. Для этого используется контейнер на базе протокола Internet Computer Protocol — своего рода самоисполняющийся смарт-контракт, который невозможно отключить или изменить извне.

Этот контейнер указывает на постоянно меняющиеся URL-адреса серверов, с которых загружаются вредоносные файлы. Так злоумышленники могут в любой момент менять адреса управляющих серверов, а заражённые машины будут находить их без сбоев. Каждые 50 минут инфицированные устройства отправляют отчёт в контейнер.

A new hacking group has been rampaging the Internet in a persistent campaign that spreads a self-propagating and never-before-seen backdoor—and curiously a data wiper that targets Iranian machines.

The group, tracked under the name TeamPCP, first gained visibility in December, when researchers from security firm Flareobservedit unleashing a worm that targeted cloud-hosted platforms that weren’t properly secured. The objective was to build a distributed proxy and scanning infrastructure and then use it to compromise servers for exfiltrating data, deploying ransomware, conducting extortion, and mining cryptocurrency. The group is notable for its skill in large-scale automation and integration of well-known attack techniques.

Relentless and constantly evolving

More recently, TeamPCP has waged a relentless campaign that uses continuously evolving malware to bring ever more systems under its control. Late last week, itcompromisedvirtually all versions of the widely used Trivy vulnerability scanner in a supply-chain attack after gaining privileged access to the GitHub account of Aqua Security, the Trivy creator.

Over the weekend, researchers said they observed TeamPCP spreading potent malware that was also worm-enabled, meaning it had the potential to spread to new machines automatically, with no interaction required of victims behind the keyboard. After infecting a machine, the malware scours them for access tokens to the npm repository and compromises any publishable packages available by creating a new version laced with the malicious code. Aikido observed the worm targeting 28 packages in less than 60 seconds.

Initially, an attacker had to manually spread the worm across every package a compromised npm token had access to. Later versions pushed over the weekend removed this requirement, giving it ever more reach.

The worm was controlled by an uncommon mechanism that was designed to be tamper proof. It used anInternet Computer Protocol-based canister, a form of self-enforcing smart contract designed to be impossible for third parties to take down or alter. The canister could point to ever-changing URLs for servers hosting malicious binaries. By giving the attackers a way for the worm to find control servers, the attackers can constantly swap out URLs at any time. Infected machines reported to the canister once every 50 minutes.