- 26,709
- 46
- 8 Ноя 2022
Одновременная эксплуатация пяти разных брешей делает процесс захвата необратимым.
PCPJack превратил охоту за облачными секретами в автоматизированную зачистку инфраструктуры. Новый инструмент не просто ворует ключи и пароли, а пытается расползаться по открытым сервисам, вытесняя следы TeamPCP — группировки, которая ранее активно использовала ошибки в облачных системах и уязвимых веб-приложениях.
О кампании сообщили специалисты SentinelOne. По данным автора отчёта, PCPJack собирает учётные данные из облачных, контейнерных, девелоперских, офисных и финансовых сервисов, а затем отправляет сведения через инфраструктуру злоумышленников. Целями стали Docker, Kubernetes, Redis, MongoDB, RayML и уязвимые веб-приложения.
Главная особенность PCPJack — поведение, похожее на сетевого червя. После попадания в среду инструмент готовит систему к заражению, загружает следующие компоненты, закрепляется, удаляет следы собственного установщика и запускает набор Python-скриптов. Один из модулей отвечает за управление атакой, кражу локальных секретов и распространение через CVE-2025-55182 , CVE-2025-29927 , CVE-2026-1357 , CVE-2025-9501 и CVE-2025-48703 . В качестве канала управления используется Telegram.
Другие компоненты извлекают ключи и токены, шифруют украденные данные перед отправкой, сканируют облачные диапазоны AWS, Google Cloud, Microsoft Azure, Cloudflare, Cloudfront и Fastly, а также ищут новые цели среди Docker, Kubernetes, MongoDB, RayML и Redis. Списки потенциальных жертв берутся из parquet-файлов Common Crawl, публичного архива данных веб-сканирования.
SentinelOne связывает кампанию с TeamPCP по пересечению целей и приёмов, но указывает на заметное отличие. PCPJack не запускает майнеры и даже удаляет функции, связанные с майнингом TeamPCP. При этом инструмент собирает метрики об успешном вытеснении TeamPCP из заражённых сред, что говорит не только об атаках на случайно найденные уязвимые облачные системы, но и о прямом интересе к инфраструктуре конкурирующего участника.
Дополнительный анализ выявил ещё один сценарий, который подбирает Sliver под архитектуру процессора и проверяет Instance <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>data Service, сервисные аккаунты Kubernetes и Docker-инстансы. Среди интересующих злоумышленников сервисов указаны Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword и OpenAI. Украденный доступ, по оценке SentinelOne, может использоваться для мошенничества, спама, вымогательства или перепродажи.
PCPJack превратил охоту за облачными секретами в автоматизированную зачистку инфраструктуры. Новый инструмент не просто ворует ключи и пароли, а пытается расползаться по открытым сервисам, вытесняя следы TeamPCP — группировки, которая ранее активно использовала ошибки в облачных системах и уязвимых веб-приложениях.
О кампании сообщили специалисты SentinelOne. По данным автора отчёта, PCPJack собирает учётные данные из облачных, контейнерных, девелоперских, офисных и финансовых сервисов, а затем отправляет сведения через инфраструктуру злоумышленников. Целями стали Docker, Kubernetes, Redis, MongoDB, RayML и уязвимые веб-приложения.
Главная особенность PCPJack — поведение, похожее на сетевого червя. После попадания в среду инструмент готовит систему к заражению, загружает следующие компоненты, закрепляется, удаляет следы собственного установщика и запускает набор Python-скриптов. Один из модулей отвечает за управление атакой, кражу локальных секретов и распространение через CVE-2025-55182 , CVE-2025-29927 , CVE-2026-1357 , CVE-2025-9501 и CVE-2025-48703 . В качестве канала управления используется Telegram.
Другие компоненты извлекают ключи и токены, шифруют украденные данные перед отправкой, сканируют облачные диапазоны AWS, Google Cloud, Microsoft Azure, Cloudflare, Cloudfront и Fastly, а также ищут новые цели среди Docker, Kubernetes, MongoDB, RayML и Redis. Списки потенциальных жертв берутся из parquet-файлов Common Crawl, публичного архива данных веб-сканирования.
SentinelOne связывает кампанию с TeamPCP по пересечению целей и приёмов, но указывает на заметное отличие. PCPJack не запускает майнеры и даже удаляет функции, связанные с майнингом TeamPCP. При этом инструмент собирает метрики об успешном вытеснении TeamPCP из заражённых сред, что говорит не только об атаках на случайно найденные уязвимые облачные системы, но и о прямом интересе к инфраструктуре конкурирующего участника.
Дополнительный анализ выявил ещё один сценарий, который подбирает Sliver под архитектуру процессора и проверяет Instance <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>data Service, сервисные аккаунты Kubernetes и Docker-инстансы. Среди интересующих злоумышленников сервисов указаны Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword и OpenAI. Украденный доступ, по оценке SentinelOne, может использоваться для мошенничества, спама, вымогательства или перепродажи.
- Источник новости
- www.securitylab.ru
