قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) کرم TeamPCP

کرم TeamPCP

تا Mezo در تهدید مداوم پیشرفته (APT), بدافزار, کرم ها
ترجمه به:

محققان امنیت سایبری یک کمپین گسترده و مبتنی بر کرم را کشف کرده‌اند که به طور سیستماتیک محیط‌های ابری را هدف قرار می‌دهد تا زیرساخت‌های مخرب را برای بهره‌برداری بعدی ایجاد کند. فعالیت‌های مرتبط با این عملیات حدود ۲۵ دسامبر ۲۰۲۵ مشاهده شد که نشان‌دهنده یک تلاش هماهنگ برای سوءاستفاده از سرویس‌ها و آسیب‌پذیری‌های در معرض خطر در پشته‌های ابری مدرن است.

TeamPCP: یک خوشه تهدید به سرعت در حال ظهور

این کمپین به یک گروه تهدید با نام TeamPCP نسبت داده شده است که با نام‌های مستعار DeadCatx3، PCPcat، PersyPCP و ShellForce نیز شناخته می‌شود. شواهد نشان می‌دهد که این گروه حداقل از نوامبر ۲۰۲۵ فعالیت داشته و فعالیت‌های تلگرامی مرتبط با آن به ۳۰ ژوئیه ۲۰۲۵ برمی‌گردد. کانال تلگرامی TeamPCP که به بیش از ۷۰۰ عضو رسیده است، برای انتشار داده‌های سرقت شده مرتبط با قربانیان در کانادا، صربستان، کره جنوبی، امارات متحده عربی و ایالات متحده استفاده می‌شود.

محققان برای اولین بار عملیات این عامل را در دسامبر ۲۰۲۵ تحت عنوان عملیات PCPcat مستند کردند.

سوءاستفاده فرصت‌طلبانه از نقاط ضعف سرویس‌های ابری

TeamPCP به عنوان یک پلتفرم جرایم سایبری بومی ابری عمل می‌کند و از رابط‌های مدیریتی در معرض خطر، پیکربندی‌های نادرست رایج و آسیب‌پذیری‌های حیاتی، از جمله نقص React2Shell که اخیراً افشا شده است (CVE-2025-55182، CVSS 10.0)، بهره می‌برد. مسیرهای اصلی آلودگی مشاهده شده در این کمپین عبارتند از:

APIهای Docker، APIهای Kubernetes، داشبوردهای Ray، سرورهای Redis و برنامه‌های آسیب‌پذیر React/Next.js در معرض خطر

این نقاط ضعف نه برای هدف قرار دادن صنایع خاص، بلکه برای تصرف فرصت‌طلبانه زیرساخت‌ها، که اغلب در محیط‌های Amazon Web Services و Microsoft Azure رخ می‌دهد، مورد سوءاستفاده قرار می‌گیرند و سازمان‌های آسیب‌دیده را به قربانیان جانبی تبدیل می‌کنند.

بهره‌برداری صنعتی در مقیاس بزرگ

TeamPCP به جای تکیه بر تکنیک‌های جدید، بر مقیاس‌پذیری و اتوماسیون تأکید دارد. این عملیات، ابزارهای تثبیت‌شده، آسیب‌پذیری‌های شناخته‌شده و پیکربندی‌های نادرستِ به‌طور گسترده مستند شده را برای صنعتی‌سازیِ بهره‌برداری ترکیب می‌کند. محیط‌های آسیب‌دیده به یک اکوسیستم مجرمانه‌ی خود-تکثیرشونده تبدیل می‌شوند که از اسکن، حرکت جانبی، پایداری و کسب درآمد پشتیبانی می‌کند.

اهداف کلی شامل ساخت پروکسی توزیع‌شده و زیرساخت‌های اسکن، استخراج داده‌ها، استقرار باج‌افزار، انجام کمپین‌های اخاذی و استخراج ارز دیجیتال است. دارایی‌های به خطر افتاده همچنین برای میزبانی داده‌ها، سرویس‌های پروکسی و رله‌های فرمان و کنترل مورد استفاده مجدد قرار می‌گیرند.

بارهای داده ماژولار و ابزارهای ابری

دسترسی اولیه‌ی موفقیت‌آمیز، امکان ارسال کدهای مخرب ثانویه از سرورهای خارجی، معمولاً به شکل shell یا Python، را فراهم می‌کند که برای گسترش دامنه‌ی دسترسی کمپین طراحی شده‌اند. یک جزء مرکزی، proxy.sh، ابزارهای پروکسی، نظیر به نظیر و تونل‌زنی را نصب می‌کند و در عین حال اسکنرهایی را مستقر می‌کند که به طور مداوم اینترنت را برای یافتن اهداف آسیب‌پذیر جدید جستجو می‌کنند.

نکته قابل توجه این است که proxy.sh برای تعیین اینکه آیا در داخل یک کلاستر Kubernetes در حال اجرا است یا خیر، انگشت‌نگاری محیط اجرا را انجام می‌دهد. هنگامی که چنین محیطی شناسایی شود، اسکریپت یک مسیر اجرای جداگانه را دنبال می‌کند و بارهای داده مخصوص کلاستر را مستقر می‌کند که رویکرد متناسب این گروه را برای اهداف ابری برجسته می‌کند.

زیرمجموعه‌ای از بارهای پشتیبانی شامل موارد زیر است:

  • scanner.py که CIDR را از یک حساب GitHub مرتبط با DeadCatx3 دانلود می‌کند تا APIهای Docker و داشبوردهای Ray با پیکربندی نادرست را پیدا کند، و استخراج ارز دیجیتال از طریق mine.sh اختیاری است.
  • kube.py، که بر جمع‌آوری اعتبارنامه‌های Kubernetes، کشف podها و namespaceهای مبتنی بر API، انتشار از طریق podهای قابل دسترسی و ماندگاری از طریق podهای ممتاز نصب شده روی هر گره تمرکز دارد.
  • react.py، که از یک آسیب‌پذیری React (CVE-2025-29927) برای اجرای دستورات از راه دور در مقیاس بزرگ بهره‌برداری می‌کند.
  • pcpcat.py، که محدوده‌های IP بزرگی را برای APIهای Docker و داشبوردهای Ray که در معرض خطر هستند، اسکن می‌کند و کانتینرها یا کارهای مخربی را که بارهای داده رمزگذاری شده Base64 را اجرا می‌کنند، مستقر می‌کند.

قابلیت‌های فرماندهی و کنترل و پس از بهره‌برداری

محققان یک گره فرمان و کنترل در آدرس 67.217.57[.]240 را به این عملیات مرتبط دانسته‌اند و به همپوشانی‌هایی با استفاده از Sliver، یک چارچوب C2 متن‌باز قانونی که اغلب توسط عوامل تهدید در مراحل پس از بهره‌برداری مورد سوءاستفاده قرار می‌گیرد، اشاره کرده‌اند.

یک مدل کسب درآمد ترکیبی ساخته شده برای انعطاف‌پذیری

کمپین PCPcat چرخه عمر کامل حمله، شامل اسکن، بهره‌برداری، پایداری، تونل‌زنی، سرقت داده‌ها و کسب درآمد را نشان می‌دهد که به‌طور خاص برای زیرساخت‌های ابری مهندسی شده است. خطر اصلی TeamPCP نه در نوآوری فنی، بلکه در ادغام و مقیاس عملیاتی نهفته است. اکثر سوءاستفاده‌ها و بدافزارها از آسیب‌پذیری‌های شناخته‌شده و ابزارهای متن‌باز با تغییرات جزئی استفاده می‌کنند.

در عین حال، این گروه سوءاستفاده از زیرساخت‌ها را با سرقت داده‌ها و اخاذی ترکیب می‌کند. پایگاه‌های داده رزومه، سوابق هویتی و داده‌های شرکتی فاش‌شده از طریق ShellForce منتشر می‌شوند تا عملیات باج‌افزاری، کلاهبرداری و ایجاد شهرت در اکوسیستم جرایم سایبری را تقویت کنند. این استراتژی کسب درآمد دوگانه، که از منابع محاسباتی و اطلاعات سرقت‌شده سود می‌برد، جریان‌های درآمدی متعددی را فراهم می‌کند و انعطاف‌پذیری در برابر اختلال و حذف را افزایش می‌دهد.

پرطرفدار

کلاهبرداری با عنوان عدم تأیید صحت سرور ایمیل IMAP/POP3

فیشینگ, هرزنامه
هوشیاری در مواجهه با ایمیل‌های غیرمنتظره یا نگران‌کننده در محیط دیجیتال پر از تهدید امروزی ضروری است. مجرمان سایبری اغلب خود را به جای ارائه‌دهندگان خدمات جا می‌زنند تا حس کاذب فوریت ایجاد کنند و گیرندگان را برای تصمیم‌گیری‌های عجولانه تحت فشار قرار دهند. یک نمونه اخیر، کلاهبرداری عدم موفقیت در تأیید سرور ایمیل IMAP/POP3 است، یک کمپین فیشینگ که با هیچ شرکت، سازمان یا ارائه‌دهنده خدمات ایمیل...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
26,948
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...