Именно это произошло в ходе необычной хакерской кампании, когда неизвестная группа злоумышленников нацелилась на системы, уже скомпрометированные плодовитой киберпреступной группой, известной как TeamPCP. Как только хакеры проникали в эти системы, они немедленно вытесняли хакеров TeamPCP и удаляли их инструменты, согласно новому отчету кибербезопасностной фирмы SentinelOne.
Затем хакеры используют полученный доступ для развертывания кода, предназначенного для репликации в различной облачной инфраструктуре подобно самораспространяющемуся червю, кражи различных типов учетных данных и, наконец, отправки украденных данных обратно в свою инфраструктуру.
TeamPCP — это киберпреступная группа, которая привлекала внимание в последние несколько недель благодаря серии громких взломов, приписываемых этой группе. Среди этих взломов — взлом облачной инфраструктуры Европейской комиссии и масштабная кибератака на широко используемый инструмент сканирования уязвимостей Trivvy, затронувшая любую компанию, которая на него полагалась, включая LiteLLM и стартап в сфере рекрутинга ИИ Mercor и другие.
Алекс Деламотт, старший исследователь SentinelOne, обнаружившая новую хакерскую кампанию и назвавшая ее «PCPJack», сообщила TechCrunch, что пока неясно, кто стоит за ней. На данный момент, по словам Деламотт, у нее есть три теории: хакеры — это либо недовольные бывшие члены TeamPCP, либо часть конкурирующей группы, либо третья сторона, «которая решила напрямую моделировать свои инструменты атаки на более ранних кампаниях TeamPCP», многие из которых были нацелены на облачную инфраструктуру.
«Сервисы, на которые нацелен PCPJack, сильно напоминают кампании TeamPCP, проводившиеся в декабре-январе, до предполагаемой смены состава группы, произошедшей в феврале-марте», — сказала Деламотт.
Деламотт также отметила, что хакеры нацеливаются не только на системы, скомпрометированные TeamPCP, но и сканируют интернет на предмет открытых сервисов, таких как облачная платформа виртуальных машин Docker, базы данных MongoDB и другие. Однако SentinelOne утверждает, что группа в основном сосредоточилась на атаках на TeamPCP.
Согласно отчету, собственные инструменты хакеров ведут учет количества взломанных целей, где им удалось успешно вытеснить TeamPCP, отправляя эту информацию в свою инфраструктуру.
Цели хакеров PCPJack, по-видимому, чисто финансовые, поскольку они крадут учетные данные с целью их монетизации. Хакеры делают это путем их перепродажи, продажи доступа к взломанным системам в качестве так называемых брокеров начального доступа — хакеров, которые взламывают системы, а затем пускают платящих клиентов на взломанные машины, или путем вымогательства непосредственно у жертв.
Однако хакеры не пытаются устанавливать программное обеспечение для майнинга криптовалюты на взломанных системах, вероятно, потому, что эта стратегия требует больше времени для получения прибыли, по словам Деламотт.
В рамках некоторых своих атак хакеры используют домены, которые, по словам Деламотт, наводят на мысль о фишинге учетных данных менеджеров паролей и использовании поддельных веб-сайтов службы поддержки.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
