PCPJack Kampanyası: TeamPCP'nin Hedeflerini Kendi Silahlarıyla Vuran Yeni Tehdit Yazılım

PCPJack Kampanyası: TeamPCP'nin Hedeflerini Kendi Silahlarıyla Vuran Yeni Tehdit

PCPJack, TeamPCP'nin kurbanı olan sistemleri hedef alan yeni bir kimlik avı çerçevesi. SentinelOne, bu kampanyanın eski bir TeamPCP üyesi tarafından y

Siber güvenlik araştırmacıları, kötü şöhretli siber suç grubu TeamPCP'nin kurbanlarını hedef alan sıra dışı yeni bir tehdit kampanyası keşfetti. SentinelOne kıdemli tehdit araştırmacısı Alex Delamotte'a göre PCPJack, 'açıkta kalan bulut altyapısına yayılan ve TeamPCP ile ilişkili yapay izleri kaldıran' bir kimlik bilgisi hırsızlığı çerçevesi.

TeamPCP, bu yıl Aqua Security'nin popüler Trivy güvenlik açığı tarayıcısının GitHub Actions'ını tehlikeye atarak LiteLLM de dahil olmak üzere sayısız alt kullanıcıya bilgi hırsızı kötü amaçlı yazılım bulaştıran büyük açık kaynak tedarik zinciri saldırılarına imza attı.

Delamotte, SentinelLABS yayınında, 'PCPJack çerçevesinin hedef aldığı hizmetlerin çoğu, 2026 başındaki yüksek profilli kampanyalar TeamPCP'ye önemli bir dikkat çekip grup üyeliğinde değişikliklere yol açmadan önceki Aralık 2025'teki erken TeamPCP/PCPCat kampanyalarına benziyor' dedi ve ekledi: 'Bunun, grubun araç setine derinlemesine aşina olan eski bir operatör olabileceğine inanıyoruz.'

TeamPCP ile ilişkili tüm yapay izleri kaldırdıktan sonra PCPJack, kurbanın bulut sistemlerinde çoğalmak üzere tasarlanmış kod dağıtıyor ve Docker, Kubernetes, Redis, MongoDB, RayML ve güvenlik açığı bulunan web uygulamalarından kimlik bilgileri çalıyor. SentinelLABS raporu, kripto para kimlik bilgilerini çalacak şekilde programlanmış olmasına rağmen kripto madenciliği işlevine sahip olmadığını belirtiyor.

Delamotte, 'Neredeyse tüm orta düzeyde karmaşık bulut tehdit kampanyaları bir noktada XMRig veya benzerini dağıtır; TeamPCP'nin birkaç kampanyası da buna dahil. Bu kampanya bunu yapmıyor ve TeamPCP ile ilişkili madencilik işlevlerini kasıtlı olarak kaldırıyor' yazdı. Bu, amacın 'kimlik bilgisi hırsızlığı, dolandırıcılık, spam, gasp veya çalınan erişimin yeniden satışı' yoluyla para kazanmak olduğunu gösteriyor.

Sonuç ve Değerlendirme

SentinelOne, kuruluşları benzer tehditlere karşı savunmak için bulut ve web uygulama güvenliği en iyi uygulamalarına uymaya çağırdı: kurumsal çapta kimlik bilgisi kasası veya sır yönetimi hizmeti kullanmak, kimlik bilgisi kasalarına erişimin asla düz metin olarak kaydedilmemesini sağlamak, hizmet hesapları için yalnızca API anahtarı yerine çok faktörlü kimlik doğrulama (MFA) gerektirmek, AWS ortamlarında IMDSV2'yi zorlamak, yalnızca onaylı S3 kaynaklarından indirmelere izin vermek ve Docker ile Kubernetes için internet'e açık olmasa bile kimlik doğrulama kullanmak.

Delamotte, 'PCPJack ve benzeri araç setlerinin etkileri, veri ifşası ve gasptan, yüksek limitli kurumsal API hizmetlerine erişimi olan bir saldırganın finansal etkilerine kadar uzanıyor' diyerek uyarıda bulundu.

Kaynak: infosecurity-magazine.com

Paylaş: