Een nieuwe hackergroep verspreidt gevaarlijke malware via open-source software. De groep heet TeamPCP en is actief sinds december. Onderzoekers van beveiligingsbedrijf Flare volgden de groep al langer. TeamPCP richt zich op slecht beveiligde cloudomgevingen. Het doel is servers overnemen voor datadiefstal, ransomware en cryptomining.
Onlangs voerde TeamPCP een aanval uit op Trivy, een veelgebruikte beveiligingstool. Ze kregen toegang tot het GitHub-account van Aqua Security, de maker van Trivy. Daarna verspreidden ze nieuwe malware genaamd CanisterWorm. Deze worm verspreidt zichzelf automatisch naar andere machines. Gebruikers hoeven niets te doen om besmet te raken.
CanisterWorm kreeg een extra functie: een datawisser die specifiek Iraanse machines aanvalt. De worm controleert of een machine zich in Iran bevindt. Staat de tijdzone op Iran ingesteld? Dan activeert de malware een wisser genaamd Kamikaze. Deze wist data op het apparaat. Er zijn nog geen bewijzen van echte schade op Iraanse machines. Maar onderzoekers waarschuwen voor grote risico’s als de worm zich verder verspreidt.
Het motief van TeamPCP is onduidelijk. Beveiligingsonderzoeker Charlie Eriksen zegt dat de groep mogelijk financieel gedreven is. Maar de aanvallen op bekende beveiligingstools sturen ook een duidelijk signaal. TeamPCP lijkt zichtbaarheid steeds belangrijker te vinden. De groep valt nu ook Checkmarx aan, een andere bekende beveiligingstool. Experts houden de situatie nauwlettend in de gaten.
