PCPJack Kampanyası TeamPCP'yi Güvenliği Tehlikeye Giren Makinelerden Önyükledi Yazılım

PCPJack Kampanyası TeamPCP'yi Güvenliği Tehlikeye Giren Makinelerden Önyükledi

Güvenlik araştırmacıları, kötü şöhretli siber suç grubu TeamPCP'nin kurbanlarını hedef almak üzere tasarlanmış alışılmadık yeni bir tehdit kampanyası ...

Güvenlik araştırmacıları, kötü şöhretli siber suç grubu TeamPCP'nin kurbanlarını hedef almak üzere tasarlanmış alışılmadık yeni bir tehdit kampanyası keşfetti.

SentinelOne kıdemli tehdit araştırmacısı Alex Delamotte'ye göre PCPJack, "açıkta kalan bulut altyapısında solucanlar oluşturan ve TeamPCP ile ilişkili yapıları ortadan kaldıran" bir kimlik bilgisi hırsızlığı çerçevesidir.

TeamPCP, bu yıl bazı büyük açık kaynak tedarik zinciri saldırılarının arkasındaki gruptur; bu saldırılardan biri de LiteLLM dahil olmak üzere sayısız alt kullanıcıya bilgi hırsızı kötü amaçlı yazılım dağıtmak için Aqua Security'nin popüler Trivy güvenlik açığı tarayıcısının GitHub Eylemlerini tehlikeye atan saldırıdır.

Delamotte In aSentinelLABS gönderisinde şöyle açıkladı: "PCPJack çerçevesi tarafından hedeflenen hizmetlerin çoğu, 2026 başındaki yüksek görünürlüklü kampanyaların TeamPCP'ye büyük ilgi getirmesinden ve iddia edildiği gibi grup üyeliğinde değişikliklere yol açmasından önce, Aralık 2025'teki ilk TeamPCP/PCPCat kampanyalarına benziyor."

"Bunun, grubun takımlarına derinlemesine aşina olan eski bir operatör olabileceğine inanıyoruz."

Nasıl Önlem Alınmalı?

TeamPCP hakkında daha fazlasını okuyun: TeamPCP, Çalınan Tedarik Zinciri Sırlarını İstismar Etmenin Yollarını Araştırıyor

SentinelLABS raporuna göre, TeamPCP ile ilişkili tüm yapıları kaldırdıktan sonra PCPJack, kurbanın bulut sistemleri üzerinden kopyalanmak üzere tasarlanmış kodu dağıtarak Docker, Kubernetes, Redis, MongoDB, RayML ve savunmasız web uygulamalarından kimlik bilgilerini çalıyor.

Teknik Analiz

Kripto para birimi kimlik bilgilerini çalmak üzere programlanmış olmasına rağmen, kripto madenciliği işlevinden yoksundur.

Delamotte, "TeamPCP'nin birkaç kampanyası da dahil olmak üzere, neredeyse tüm orta düzeyde gelişmiş bulut tehdit kampanyaları, bir noktada XMRig veya benzerini kullanıyor" diye yazdı. "Bu kampanya bunu yapmıyor ve TeamPCP ile ilişkili madenci işlevlerini kasıtlı olarak kaldırıyor."

Detaylar ve Etkileri

Bu, amacın "kimlik bilgisi hırsızlığı, dolandırıcılık, spam, gasp veya çalıntı erişimin yeniden satışı" yoluyla para kazanmak olduğunu gösteriyor.

Gelecekte Ne Bekleniyor?

PCPJack Tarzı Saldırıları Azaltma

Sistem Güvenliği

SentinelOne, kuruluşları bulut ve web uygulaması güvenliğine ilişkin en iyi uygulamalara bağlı kalarak benzer tehditlere karşı savunma yapmaya çağırdı:

Kuruluş çapında bir kimlik bilgisi kasası veya sır yönetimi hizmeti kullanma

Önemli Gelişmeler

Kimlik bilgileri kasalarına erişimin hiçbir zaman açık metin olarak kaydedilen bir dosyada saklanmamasını sağlamak

Hizmet hesapları için tek başına API anahtarı yerine çok faktörlü kimlik doğrulamanın (MFA) zorunlu kılınması

Sonuç ve Değerlendirme

AWS ortamlarında, kimlik bilgileri hırsızlığını önlemek için IMDSV2'nin tüm hizmetlerde uygulanmasını sağlamak

Uzmanların Görüşleri

Yalnızca onaylı S3 kaynaklarından indirmelere izin verilenler listesi

İnternete açık olmasalar bile Docker ve Kubernetes için kimlik doğrulamanın kullanılması (yanal hareket için popüler hedefler olmaları nedeniyle)

Kubernetes hizmet hesaplarına en az ayrıcalık ilkesinin uygulanması

Delamotte, "PCPJack ve benzeri araç setlerinin etkileri, verilerin açığa çıkması ve gasp edilmesinden, yüksek limitli kurumsal API hizmetlerine erişimi olan bir saldırganın finansal etkilerine kadar uzanıyor" diye uyardı.

Paylaş: