蠕蟲活動CanisterWorm升級，TeamPCP針對伊朗進行資料破壞攻擊

資安公司Aikido發現TeamPCP近期釋出新一波惡意程式，將原本以竊取憑證與後門植入為主的CanisterWorm攻擊，進一步升級為具備破壞能力的資料抹除軟體（Wiper），並明確鎖定伊朗地區的系統。

此次新版本的最大變化，在於加入地緣政治導向的破壞機制。惡意程式會檢查系統時區與語系，若判定為伊朗環境，便觸發資料抹除行為；否則維持原本的後門植入與橫向移動功能。在位於伊朗的Kubernetes環境中，攻擊者會部署具高權限的DaemonSet，將惡意容器散布至所有節點，並透過名為kamikaze的容器刪除主機檔案系統，然後強制重開機；若為位於伊朗的非Kubernetes系統，則直接執行指令rm -rf /進行破壞。

再者，該惡意程式亦具備多種橫向移動能力，包括利用竊取的SSH金鑰進行散播，以及掃描並濫用未受保護的2375埠Docker API，於內部網路環境進行擴散，顯示其已朝自動化攻擊發展。值得留意的是，這次駭客也濫用數個Cloudflare隧道的網域，來輪替傳送有效酬載的基礎設施。