ដង្កូវ TeamPCP

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការដ៏ទូលំទូលាយមួយដែលជំរុញដោយមេរោគ Worm ដែលកំណត់គោលដៅជាប្រព័ន្ធទៅលើបរិស្ថានដែលមានដើមកំណើតនៅលើ Cloud ដើម្បីបង្កើតហេដ្ឋារចនាសម្ព័ន្ធដែលមានគំនិតអាក្រក់សម្រាប់ការកេងប្រវ័ញ្ចជាបន្តបន្ទាប់។ សកម្មភាពដែលភ្ជាប់ទៅនឹងប្រតិបត្តិការនេះត្រូវបានគេសង្កេតឃើញនៅប្រហែលថ្ងៃទី 25 ខែធ្នូ ឆ្នាំ 2025 ដែលបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងសម្របសម្រួលដើម្បីរំលោភលើសេវាកម្ម និងភាពងាយរងគ្រោះដែលបានបង្ហាញនៅទូទាំង Cloud Stacks ទំនើបៗ។

TeamPCP៖ ចង្កោមគំរាមកំហែងដែលកំពុងលេចចេញយ៉ាងឆាប់រហ័ស

យុទ្ធនាការនេះត្រូវបានគេសន្មតថាជាចង្កោមគំរាមកំហែងដែលត្រូវបានតាមដានថាជា TeamPCP ដែលត្រូវបានគេស្គាល់ដោយឈ្មោះក្លែងក្លាយរួមមាន DeadCatx3, PCPcat, PersyPCP និង ShellForce។ ភស្តុតាងបង្ហាញថាក្រុមនេះបានដំណើរការតាំងពីយ៉ាងហោចណាស់ខែវិច្ឆិកា ឆ្នាំ២០២៥ ដោយសកម្មភាព Telegram ពាក់ព័ន្ធមានតាំងពីថ្ងៃទី៣០ ខែកក្កដា ឆ្នាំ២០២៥។ ឆានែល TeamPCP Telegram ដែលមានសមាជិកជាង ៧០០នាក់ ត្រូវបានប្រើដើម្បីបោះពុម្ពផ្សាយទិន្នន័យដែលត្រូវបានគេលួចដែលភ្ជាប់ទៅនឹងជនរងគ្រោះនៅក្នុងប្រទេសកាណាដា ស៊ែប៊ី កូរ៉េខាងត្បូង អេមីរ៉ាតអារ៉ាប់រួម និងសហរដ្ឋអាមេរិក។

ក្រុមអ្នកស្រាវជ្រាវបានចងក្រងឯកសារជាលើកដំបូងអំពីប្រតិបត្តិការរបស់តារាសម្ដែងរូបនេះនៅក្នុងខែធ្នូ ឆ្នាំ២០២៥ ក្រោមឈ្មោះហៅក្រៅថា Operation PCPcat។

ការរំលោភបំពានឱកាសនិយមនៃចំណុចខ្សោយ Cloud-Native

TeamPCP ដំណើរការជាវេទិកាឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលមានមូលដ្ឋានលើពពក ដោយទាញយកអត្ថប្រយោជន៍ពីចំណុចប្រទាក់គ្រប់គ្រងដែលបានបង្ហាញ ការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវជាទូទៅ និងភាពងាយរងគ្រោះសំខាន់ៗ រួមទាំងកំហុស React2Shell ដែលទើបនឹងបង្ហាញថ្មីៗនេះ (CVE-2025-55182, CVSS 10.0)។ ផ្លូវឆ្លងមេរោគចម្បងដែលសង្កេតឃើញនៅក្នុងយុទ្ធនាការនេះរួមមាន៖

Docker APIs, Kubernetes APIs, Ray dashboards, Redis servers និងកម្មវិធី React/Next.js ដែលងាយរងគ្រោះត្រូវបានលាតត្រដាង

ចំណុចខ្សោយទាំងនេះត្រូវបានគេកេងប្រវ័ញ្ចមិនមែនដើម្បីកំណត់គោលដៅឧស្សាហកម្មជាក់លាក់នោះទេ ប៉ុន្តែដើម្បីឆក់យកហេដ្ឋារចនាសម្ព័ន្ធដោយឱកាសនិយម ភាគច្រើនជាញឹកញាប់នៅក្នុងបរិស្ថាន Amazon Web Services និង Microsoft Azure ដែលប្រែក្លាយអង្គការដែលរងផលប៉ះពាល់ទៅជាជនរងគ្រោះបន្ទាប់បន្សំ។

ការកេងប្រវ័ញ្ចឧស្សាហកម្មក្នុងទ្រង់ទ្រាយធំ

ជំនួស​ឲ្យ​ការ​ពឹង​ផ្អែក​លើ​បច្ចេកទេស​ថ្មីៗ TeamPCP ផ្តោត​លើ​មាត្រដ្ឋាន និង​ស្វ័យប្រវត្តិកម្ម។ ប្រតិបត្តិការ​នេះ​រួម​បញ្ចូល​ឧបករណ៍​ដែល​បាន​បង្កើត​ឡើង ភាព​ងាយ​រងគ្រោះ​ដែល​គេ​ស្គាល់ និង​ការ​កំណត់​រចនាសម្ព័ន្ធ​មិន​ត្រឹមត្រូវ​ដែល​បាន​ចងក្រង​ជា​ឯកសារ​យ៉ាង​ទូលំទូលាយ ដើម្បី​ធ្វើ​ឧស្សាហូបនីយកម្ម​ការ​កេងប្រវ័ញ្ច។ បរិស្ថាន​ដែល​រង​ការ​គំរាមកំហែង​ត្រូវ​បាន​ប្រែក្លាយ​ទៅ​ជា​ប្រព័ន្ធ​អេកូឡូស៊ី​ឧក្រិដ្ឋកម្ម​ដែល​រីក​រាលដាល​ដោយ​ខ្លួនឯង ដែល​គាំទ្រ​ដល់​ការ​ស្កេន ការ​ធ្វើ​ចលនា​ចំហៀង ការ​តស៊ូ និង​ការ​រក​ប្រាក់។

គោលបំណងរួមរួមមានការកសាងហេដ្ឋារចនាសម្ព័ន្ធប្រូកស៊ីចែកចាយ និងស្កេន ការលួចយកទិន្នន័យ ការដាក់ពង្រាយមេរោគចាប់ជំរិត ការធ្វើយុទ្ធនាការជំរិតទារប្រាក់ និងការជីកយករូបិយប័ណ្ណគ្រីបតូ។ ទ្រព្យសកម្មដែលរងការលួចយកក៏ត្រូវបានប្រើប្រាស់ឡើងវិញសម្រាប់ការបង្ហោះទិន្នន័យ សេវាកម្មប្រូកស៊ី និងការបញ្ជូនតបញ្ជា និងត្រួតពិនិត្យផងដែរ។

បន្ទុកការងារម៉ូឌុល និងឧបករណ៍ដែលយល់ដឹងអំពីពពក

ការចូលប្រើដំបូងដោយជោគជ័យអនុញ្ញាតឱ្យមានការចែកចាយបន្ទុកបន្ទាប់បន្សំពីម៉ាស៊ីនមេខាងក្រៅ ជាធម្មតាក្នុងទម្រង់សែល ឬ Python ដែលត្រូវបានរចនាឡើងដើម្បីពង្រីកវិសាលភាពនៃយុទ្ធនាការ។ សមាសភាគកណ្តាលមួយគឺ proxy.sh ដំឡើងឧបករណ៍ប្រើប្រាស់ប្រូកស៊ី មិត្តភក្ដិទៅមិត្តភក្ដិ និងផ្លូវរូងក្រោមដី ខណៈពេលដែលដាក់ពង្រាយម៉ាស៊ីនស្កេនដែលស៊ើបអង្កេតអ៊ីនធឺណិតជាបន្តបន្ទាប់សម្រាប់គោលដៅងាយរងគ្រោះថ្មី។

ជាពិសេស proxy.sh អនុវត្តការសម្គាល់ស្នាមម្រាមដៃបរិស្ថានពេលដំណើរការ ដើម្បីកំណត់ថាតើវាកំពុងប្រតិបត្តិនៅខាងក្នុងចង្កោម Kubernetes ដែរឬទេ។ នៅពេលដែលបរិស្ថានបែបនេះត្រូវបានរកឃើញ ស្គ្រីបនឹងធ្វើតាមផ្លូវប្រតិបត្តិដាច់ដោយឡែកមួយ ហើយដាក់ពង្រាយបន្ទុកជាក់លាក់នៃចង្កោម ដែលគូសបញ្ជាក់ពីវិធីសាស្រ្តដែលត្រូវបានរៀបចំឡើងដោយក្រុមចំពោះគោលដៅដើមលើពពក។

សំណុំរងនៃបន្ទុកគាំទ្ររួមមាន៖

• scanner.py ដែលទាញយកជួរ CIDR ពីគណនី GitHub ដែលភ្ជាប់ជាមួយ DeadCatx3 ដើម្បីកំណត់ទីតាំង Docker APIs និង Ray dashboards ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវ ជាមួយនឹងការជីកយករ៉ែរូបិយប័ណ្ណគ្រីបតូជាជម្រើសតាមរយៈ mine.sh
• kube.py ដែលផ្តោតលើការប្រមូលផលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ Kubernetes ការរកឃើញ pods និង namespaces ដោយផ្អែកលើ API ការសាយភាយតាមរយៈ pods ដែលអាចចូលប្រើបាន និងការបន្តតាមរយៈ pods ដែលមានឯកសិទ្ធិដែលបានម៉ោននៅលើ node នីមួយៗ។
• react.py ដែលទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះរបស់ React (CVE-2025-29927) ដើម្បីសម្រេចបាននូវការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយក្នុងទ្រង់ទ្រាយធំ។
• pcpcat.py ដែលស្កេនជួរ IP ធំៗសម្រាប់ Docker APIs និង Ray dashboards ដែលលាតត្រដាង ហើយដាក់ពង្រាយកុងតឺន័រ ឬការងារដែលមានមេរោគដែលកំពុងដំណើរការ payloads ដែលបានអ៊ិនកូដ Base64។

សមត្ថភាពបញ្ជា និងត្រួតពិនិត្យ និងក្រោយការកេងប្រវ័ញ្ច

ក្រុមអ្នកស្រាវជ្រាវបានភ្ជាប់ថ្នាំងបញ្ជា និងត្រួតពិនិត្យនៅ 67.217.57[.]240 ទៅនឹងប្រតិបត្តិការ ដោយកត់សម្គាល់ឃើញថាមានការត្រួតស៊ីគ្នាជាមួយនឹងការប្រើប្រាស់ Sliver ដែលជាក្របខ័ណ្ឌ C2 ប្រភពបើកចំហស្របច្បាប់ដែលត្រូវបានរំលោភបំពានជាញឹកញាប់ដោយអ្នកគំរាមកំហែងក្នុងដំណាក់កាលក្រោយការកេងប្រវ័ញ្ច។

គំរូរកប្រាក់ចម្រុះដែលបង្កើតឡើងសម្រាប់ភាពធន់

យុទ្ធនាការ PCPcat បង្ហាញពីវដ្តជីវិតនៃការវាយប្រហារពេញលេញ ការស្កេន ការកេងប្រវ័ញ្ច ការតស៊ូ ការបង្កើតផ្លូវរូងក្រោមដី ការលួចទិន្នន័យ និងការរកប្រាក់ ដែលត្រូវបានរចនាឡើងជាពិសេសសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធពពក។ គ្រោះថ្នាក់ចម្បងដែលបង្កឡើងដោយ TeamPCP មិនមែនស្ថិតនៅក្នុងការច្នៃប្រឌិតបច្ចេកទេសទេ ប៉ុន្តែស្ថិតនៅក្នុងការធ្វើសមាហរណកម្មប្រតិបត្តិការ និងមាត្រដ្ឋាន។ ការកេងប្រវ័ញ្ច និងមេរោគភាគច្រើនទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះដែលគេស្គាល់យ៉ាងច្បាស់ និងឧបករណ៍ប្រភពបើកចំហដែលត្រូវបានកែប្រែបន្តិចបន្តួច។

ក្នុងពេលជាមួយគ្នានេះ ក្រុមនេះលាយបញ្ចូលគ្នានូវការរំលោភបំពានលើហេដ្ឋារចនាសម្ព័ន្ធជាមួយនឹងការលួចទិន្នន័យ និងការជំរិតទារប្រាក់។ មូលដ្ឋានទិន្នន័យ CV ដែលលេចធ្លាយ កំណត់ត្រាអត្តសញ្ញាណ និងទិន្នន័យសាជីវកម្មត្រូវបានបោះពុម្ពផ្សាយតាមរយៈ ShellForce ដើម្បីជំរុញប្រតិបត្តិការ ransomware ការក្លែងបន្លំ និងការកសាងកេរ្តិ៍ឈ្មោះនៅក្នុងប្រព័ន្ធអេកូឡូស៊ីឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ យុទ្ធសាស្ត្ររកប្រាក់ពីរនេះ ដែលរកប្រាក់ចំណេញពីទាំងធនធានកុំព្យូទ័រ និងព័ត៌មានដែលត្រូវបានគេលួច ផ្តល់នូវប្រភពចំណូលច្រើន និងបង្កើនភាពធន់ប្រឆាំងនឹងការរំខាន និងការដកចេញ។