Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Cacing TeamPCP

Cacing TeamPCP

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), perisian hasad, cacing
Terjemahkan ke

Penyelidik keselamatan siber telah menemui kempen menyeluruh yang dipacu oleh cacing yang secara sistematik menyasarkan persekitaran awan asli untuk membina infrastruktur berniat jahat bagi eksploitasi berikutnya. Aktiviti yang berkaitan dengan operasi ini diperhatikan sekitar 25 Disember 2025, mendedahkan usaha terselaras untuk menyalahgunakan perkhidmatan dan kerentanan yang terdedah merentasi susunan awan moden.

TeamPCP: Kelompok Ancaman yang Muncul Pantas

Kempen ini telah dikaitkan dengan kluster ancaman yang dikesan sebagai TeamPCP, juga dikenali dengan alias termasuk DeadCatx3, PCPcat, PersyPCP dan ShellForce. Bukti menunjukkan kumpulan itu telah beroperasi sekurang-kurangnya sejak November 2025, dengan aktiviti Telegram berkaitan bermula pada 30 Julai 2025. Saluran Telegram TeamPCP, yang telah berkembang kepada lebih 700 ahli, digunakan untuk menerbitkan data yang dicuri yang dikaitkan dengan mangsa di Kanada, Serbia, Korea Selatan, Emiriah Arab Bersatu dan Amerika Syarikat.

Para penyelidik pertama kali mendokumentasikan operasi pelakon itu pada Disember 2025 di bawah gelaran Operasi PCPcat.

Penyalahgunaan Oportunistik Kelemahan Cloud-Native

TeamPCP beroperasi sebagai platform jenayah siber natif awan, memanfaatkan antara muka pengurusan yang terdedah, salah konfigurasi biasa dan kelemahan kritikal, termasuk kecacatan React2Shell yang baru didedahkan (CVE-2025-55182, CVSS 10.0). Laluan jangkitan utama yang diperhatikan dalam kempen termasuk:

API Docker yang terdedah, API Kubernetes, papan pemuka Ray, pelayan Redis dan aplikasi React/Next.js yang terdedah

Kelemahan ini dieksploitasi bukan untuk menyasarkan industri tertentu, tetapi untuk merampas infrastruktur secara oportunis, paling kerap dalam persekitaran Perkhidmatan Web Amazon dan Microsoft Azure, menjadikan organisasi yang terjejas sebagai mangsa cagaran.

Eksploitasi Perindustrian pada Skala

Daripada bergantung pada teknik baharu, TeamPCP menekankan skala dan automasi. Operasi ini menggabungkan alatan yang sedia ada, kelemahan yang diketahui dan salah konfigurasi yang didokumentasikan secara meluas untuk mengindustrialisasikan eksploitasi. Persekitaran yang terjejas diubah menjadi ekosistem jenayah yang merambat sendiri yang menyokong pengimbasan, pergerakan lateral, kegigihan dan pengewangan.

Objektif menyeluruh termasuk membina infrastruktur proksi teragih dan pengimbasan, mengeksfiltrasi data, menggunakan ransomware, menjalankan kempen pemerasan dan melombong mata wang kripto. Aset yang dikompromi juga digunakan semula untuk pengehosan data, perkhidmatan proksi dan geganti arahan dan kawalan.

Muatan Modular dan Peralatan Berasaskan Awan

Akses awal yang berjaya membolehkan penghantaran muatan sekunder daripada pelayan luaran, biasanya dalam bentuk shell atau Python, yang direka untuk mengembangkan jangkauan kempen. Komponen pusat, proxy.sh, memasang utiliti proksi, peer-to-peer dan terowong sambil menggunakan pengimbas yang sentiasa menyiasat internet untuk sasaran terdedah baharu.

Terutamanya, proxy.sh melakukan cap jari persekitaran masa jalan untuk menentukan sama ada ia sedang dilaksanakan di dalam kluster Kubernetes. Apabila persekitaran sedemikian dikesan, skrip mengikuti laluan pelaksanaan yang berasingan dan menggunakan muatan khusus kluster, menggariskan pendekatan khusus kumpulan terhadap sasaran awan asli.

Sebahagian daripada muatan sokongan termasuk:

  • scanner.py, yang memuat turun julat CIDR daripada akaun GitHub yang dikaitkan dengan DeadCatx3 untuk mencari API Docker dan papan pemuka Ray yang salah konfigurasi, dengan perlombongan mata wang kripto pilihan melalui mine.sh
  • kube.py, yang menumpukan pada penuaian kelayakan Kubernetes, penemuan pod dan ruang nama berasaskan API, penyebaran melalui pod yang boleh diakses dan kegigihan melalui pod istimewa yang dipasang pada setiap nod
  • react.py, yang mengeksploitasi kerentanan React (CVE-2025-29927) untuk mencapai pelaksanaan arahan jauh pada skala besar
  • pcpcat.py, yang mengimbas julat IP yang besar untuk API Docker dan papan pemuka Ray yang terdedah dan menggunakan bekas atau kerja berniat jahat yang menjalankan muatan yang dikodkan Base64

Keupayaan Perintah dan Kawalan dan Pasca-Eksploitasi

Para penyelidik telah menghubungkan nod arahan dan kawalan di 67.217.57[.]240 dengan operasi tersebut, dengan menyatakan pertindihan dengan penggunaan Sliver, rangka kerja C2 sumber terbuka yang sah yang sering disalahgunakan oleh pelaku ancaman semasa fasa pasca eksploitasi.

Model Pengewangan Hibrid Dibina untuk Daya Tahan

Kempen PCPcat menunjukkan kitaran hayat serangan, pengimbasan, eksploitasi, kegigihan, penerowongan, kecurian data dan pengewangan yang lengkap, yang direka bentuk khusus untuk infrastruktur awan. Bahaya utama yang ditimbulkan oleh TeamPCP bukanlah terletak pada inovasi teknikal, tetapi pada integrasi dan skala operasi. Kebanyakan eksploitasi dan perisian hasad memanfaatkan kerentanan yang diketahui umum dan perkakasan sumber terbuka yang diubah suai sedikit.

Pada masa yang sama, kumpulan itu menggabungkan penyalahgunaan infrastruktur dengan kecurian data dan pemerasan. Pangkalan data CV yang bocor, rekod identiti dan data korporat diterbitkan melalui ShellForce untuk mendorong operasi ransomware, penipuan dan pembinaan reputasi dalam ekosistem jenayah siber. Strategi pengewangan berganda ini, yang mengaut keuntungan daripada sumber pengkomputeran dan maklumat yang dicuri, menyediakan pelbagai aliran pendapatan dan meningkatkan daya tahan terhadap gangguan dan penghapusan.

Trending

Paling banyak dilihat

Memuatkan...