Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Täiustatud püsiv oht (APT) TeamPCP uss

TeamPCP uss

Aastaks Mezo aastal Täiustatud püsiv oht (APT), Pahavara, Ussid
Tõlgi:

Küberturvalisuse uurijad on paljastanud ulatusliku ussipõhise kampaania, mis süstemaatiliselt sihib pilvepõhiseid keskkondi, et luua pahatahtlikku infrastruktuuri hilisemaks ärakasutamiseks. Selle operatsiooniga seotud tegevust täheldati umbes 25. detsembril 2025, mis paljastas koordineeritud püüdluse kuritarvitada ohustatud teenuseid ja haavatavusi tänapäevastes pilvesüsteemides.

TeamPCP: kiiresti tekkiv ohuklaster

Kampaaniat on seostatud ohuklastriga, mida jälgitakse nime all TeamPCP, tuntud ka varjunimede DeadCatx3, PCPcat, PersyPCP ja ShellForce all. Tõendid viitavad sellele, et rühmitus on tegutsenud vähemalt 2025. aasta novembrist ning seotud Telegrami tegevus ulatub tagasi 30. juulini 2025. TeamPCP Telegrami kanalit, millel on nüüdseks üle 700 liikme, kasutatakse varastatud andmete avaldamiseks, mis on seotud ohvritega Kanadas, Serbias, Lõuna-Koreas, Araabia Ühendemiraatides ja Ameerika Ühendriikides.

Teadlased dokumenteerisid näitleja operatsioone esmakordselt 2025. aasta detsembris nimetuse Operation PCPcat all.

Pilvepõhiste nõrkuste oportunistlik kuritarvitamine

TeamPCP tegutseb pilvepõhise küberkuritegevuse platvormina, kasutades ära haavatavaid haldusliideseid, levinud valekonfiguratsioone ja kriitilisi haavatavusi, sealhulgas hiljuti avalikustatud React2Shelli viga (CVE-2025-55182, CVSS 10.0). Kampaanias täheldatud peamised nakkusteed on järgmised:

Haavatavad Dockeri API-d, Kubernetese API-d, Ray armatuurlauad, Redise serverid ja haavatavad React/Next.js rakendused

Neid nõrkusi ei kasutata ära mitte konkreetsete tööstusharude ründamiseks, vaid infrastruktuuri oportunistlikuks hõivamiseks, kõige sagedamini Amazon Web Services'i ja Microsoft Azure'i keskkondades, muutes mõjutatud organisatsioonid kaudseteks ohvriteks.

Mastaabis industrialiseeritud ekspluateerimine

Uudsetele tehnikatele toetumise asemel rõhutab TeamPCP skaleeritavust ja automatiseerimist. See operatsioon ühendab väljakujunenud tööriistu, teadaolevaid haavatavusi ja laialdaselt dokumenteeritud valekonfiguratsioone, et ärakasutamist industrialiseerida. Ohustatud keskkonnad muudetakse isepaljunevaks kuritegelikuks ökosüsteemiks, mis toetab skannimist, külgmist liikumist, püsivust ja monetiseerimist.

Üldised eesmärgid hõlmavad hajutatud puhverserveri ja skaneerimise infrastruktuuri loomist, andmete väljafiltreerimist, lunavara juurutamist, väljapressimiskampaaniate läbiviimist ja krüptovaluuta kaevandamist. Samuti kasutatakse ohustatud varasid andmemajutuseks, puhverserveri teenusteks ja juhtimis- ja kontrolledastuskanaliteks.

Modulaarsed kasulikud koormused ja pilveteadlikud tööriistad

Edukas esialgne juurdepääs võimaldab edastada teiseseid kasulikke koormusi välistest serveritest, tavaliselt shelli või Pythoni kujul, mis on loodud kampaania ulatuse laiendamiseks. Keskne komponent proxy.sh installib puhverserveri, peer-to-peer ja tunneldamise utiliidid, juurutades samal ajal skannereid, mis pidevalt sondeerivad internetti uute haavatavate sihtmärkide leidmiseks.

Tähelepanuväärne on see, et proxy.sh teostab käituskeskkonna sõrmejälgede analüüsi, et teha kindlaks, kas see töötab Kubernetes'i klastris. Sellise keskkonna tuvastamisel järgib skript eraldi täitmisteed ja juurutab klastripõhiseid kasulikke koormusi, rõhutades grupi kohandatud lähenemist pilvepõhistele eesmärkidele.

Toetavate kasulike koormuste alamhulk sisaldab:

  • scanner.py, mis laadib alla DeadCatx3-ga seotud GitHubi kontolt CIDR-vahemikud valesti konfigureeritud Docker API-de ja Ray armatuurlaudade leidmiseks, valikulise krüptovaluuta kaevandamisega mine.sh kaudu
  • kube.py, mis keskendub Kubernetes'i volituste kogumisele, API-põhisele podide ja nimeruumide avastamisele, levitamisele ligipääsetavate podide kaudu ja püsivusele igale sõlmele paigaldatud privilegeeritud podide kaudu.
  • react.py, mis kasutab ära Reacti haavatavust (CVE-2025-29927), et saavutada käskude kaugkäivitamine suures mahus
  • pcpcat.py, mis skannib suuri IP-vahemikke, et leida avatud Docker API-sid ja Ray armatuurlaudu ning juurutab pahatahtlikke konteinereid või töid, mis käitavad Base64-kodeeringuga kasulikke koormusi

Juhtimis- ja kontroll- ning järeloperatsioonide võimekus

Teadlased on operatsiooniga ühendanud juhtimis- ja kontrollsõlme aadressil 67.217.57[.]240, märkides kattumisi Sliveri kasutamisega, mis on legitiimne avatud lähtekoodiga C2 raamistik, mida ohutegelased sageli kuritarvitavad pärast ärakasutamist.

Vastupidavuse tagamiseks loodud hübriidne monetiseerimismudel

PCPcati kampaania demonstreerib täielikku rünnaku elutsüklit, skaneerimist, ärakasutamist, püsivust, tunneldamist, andmete vargust ja monetiseerimist, mis on loodud spetsiaalselt pilveinfrastruktuuri jaoks. TeamPCP peamine oht ei seisne tehnilises innovatsioonis, vaid operatiivses integratsioonis ja ulatuses. Enamik ärakasutamisi ja pahavara kasutavad ära tuntud haavatavusi ja kergelt modifitseeritud avatud lähtekoodiga tööriistu.

Samal ajal segab rühmitus infrastruktuuri kuritarvitamist andmevarguste ja väljapressimisega. Lekkinud CV-andmebaase, identiteediandmeid ja ettevõtte andmeid avaldatakse ShellForce'i kaudu, et edendada lunavaraoperatsioone, pettusi ja maine loomist küberkuritegevuse ökosüsteemis. See kahekordne raha teenimise strateegia, mis teenib kasu nii arvutusressurssidest kui ka varastatud teabest, pakub mitmeid tuluallikaid ja suurendab vastupidavust häiretele ja eemaldamistele.

Trendikas

IMAP/POP3 meiliserveri verifitseerimise nurjumise...

Andmepüük, Rämpspost
Tänapäeva ohtudest tulvil digitaalses keskkonnas on ootamatute või murettekitavate meilidega tegelemisel valvsaks jäämine hädavajalik. Küberkurjategijad esinevad sageli teenusepakkujatena, et luua vale kiireloomulisus ja survestada saajaid rutakaid otsuseid tegema. Üks hiljutine näide on IMAP/POP3 meiliserveri verifitseerimise ebaõnnestumise pettus – andmepüügikampaania, mis ei ole seotud ühegi...

Enim vaadatud

Laadimine...