PCPJack Kampanyası: TeamPCP'nin Kendi Silahıyla Vurulması Yazılım

PCPJack Kampanyası: TeamPCP'nin Kendi Silahıyla Vurulması

PCPJack, TeamPCP çetesinin kurbanlarını hedef alan, bulut altyapısında yayılarak kimlik bilgilerini çalan ve çetenin izlerini silen yeni bir tehdit ka

Siber güvenlik araştırmacıları, kötü şöhretli TeamPCP siber suç grubunun kurbanlarını hedef alan sıra dışı yeni bir tehdit kampanyası keşfetti. SentinelOne kıdemli tehdit araştırmacısı Alex Delamotte'a göre PCPJack, 'açıkta kalan bulut altyapısında solucan gibi yayılan ve TeamPCP ile ilişkili eserleri kaldıran bir kimlik bilgisi hırsızlığı çerçevesi.' TeamPCP, bu yılın başlarında Aqua Security'nin popüler Trivy güvenlik açığı tarayıcısının GitHub Actions'ını tehlikeye atarak LiteLLM de dahil olmak üzere sayısız kullanıcıya bilgi çalan kötü amaçlı yazılım bulaştıran büyük bir açık kaynak tedarik zinciri saldırısından sorumlu.

Delamotte bir SentinelLABS yazısında, 'PCPJack çerçevesi tarafından hedef alınan hizmetlerin çoğu, 2026 başındaki yüksek profilli kampanyaların TeamPCP'ye önemli ilgi getirmesinden ve grup üyeliğinde değişikliklere yol açmasından önceki Aralık 2025'teki erken TeamPCP/PCPCat kampanyalarına benziyor. Bunun, grubun araçlarını derinlemesine bilen eski bir operatör olabileceğine inanıyoruz' dedi. PCPJack, TeamPCP ile ilişkili tüm eserleri kaldırdıktan sonra, kurbanın bulut sistemlerinde çoğalmak üzere tasarlanmış kod dağıtıyor ve Docker, Kubernetes, Redis, MongoDB, RayML ve güvenlik açığı bulunan web uygulamalarından kimlik bilgilerini çalıyor.

Rapora göre, kripto para kimlik bilgilerini çalacak şekilde programlanmış olmasına rağmen kripto madenciliği işlevselliğinden yoksun. Delamotte, 'Neredeyse tüm orta düzeyde sofistike bulut tehdit kampanyaları, bir noktada XMRig veya benzerini dağıtır. Bu kampanya dağıtmıyor ve TeamPCP ile ilişkili madencilik işlevlerini kasten kaldırıyor' diye yazdı. Bu durum, amacın 'kimlik bilgisi hırsızlığı, dolandırıcılık, spam, şantaj veya çalınan erişimin yeniden satışı' yoluyla para kazanmak olduğunu gösteriyor.

Detaylar ve Etkileri

SentinelOne, kuruluşları benzer tehditlere karşı savunmak için bulut ve web uygulaması güvenliği en iyi uygulamalarına bağlı kalmalarını öneriyor: kurumsal çapta kimlik bilgisi kasası veya sır yönetimi hizmeti kullanmak, kimlik bilgisi kasalarına erişimin asla düz metin olarak kaydedilmemesini sağlamak, hizmet hesapları için yalnızca API anahtarı yerine çok faktörlü kimlik doğrulama (MFA) gerektirmek, AWS ortamlarında IMDSV2'yi zorunlu kılmak, yalnızca onaylı S3 kaynaklarından indirmelere izin vermek, internete açık olmasa bile Docker ve Kubernetes için kimlik doğrulama kullanmak ve Kubernetes hizmet hesaplarına en az ayrıcalık ilkesini uygulamak. Delamotte, 'PCPJack ve benzeri araç setlerinin etkileri, veri ifşası ve şantajdan, yüksek limitli kurumsal API hizmetlerine erişimi olan bir saldırganın finansal etkilerine kadar uzanıyor' uyarısında bulundu.

Paylaş: