Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) Červ TeamPCP

Červ TeamPCP

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Malvér, Červy
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili rozsiahlu kampaň riadenú červami, ktorá systematicky útočí na cloudové prostredia s cieľom vytvoriť škodlivú infraštruktúru pre následné zneužitie. Aktivita spojená s touto operáciou bola pozorovaná okolo 25. decembra 2025 a odhaľuje koordinované úsilie o zneužitie exponovaných služieb a zraniteľností v moderných cloudových systémoch.

TeamPCP: Rýchlo sa rozvíjajúci klaster hrozieb

Kampaň bola pripísaná hroziebnému klastru sledovanému ako TeamPCP, známemu aj pod prezývkami DeadCatx3, PCPcat, PersyPCP a ShellForce. Dôkazy naznačujú, že skupina funguje minimálne od novembra 2025, pričom súvisiaca aktivita v Telegrame siaha až do 30. júla 2025. Telegramový kanál TeamPCP, ktorý sa rozrástol na viac ako 700 členov, sa používa na zverejňovanie ukradnutých údajov spojených s obeťami v Kanade, Srbsku, Južnej Kórei, Spojených arabských emirátoch a Spojených štátoch.

Výskumníci prvýkrát zdokumentovali operácie herca v decembri 2025 pod označením Operácia PCPcat.

Oportunistické zneužívanie slabých stránok cloudových riešení

TeamPCP funguje ako cloudová platforma pre boj proti kyberkriminalite, ktorá využíva odhalené rozhrania pre správu, bežné nesprávne konfigurácie a kritické zraniteľnosti vrátane nedávno odhalenej chyby React2Shell (CVE-2025-55182, CVSS 10.0). Medzi hlavné cesty infekcie pozorované v kampani patria:

Odhalené Docker API, Kubernetes API, Ray dashboardy, Redis servery a zraniteľné aplikácie React/Next.js

Tieto slabé stránky sa zneužívajú nie na cielenie na konkrétne odvetvia, ale na oportunistické zmocnenie sa infraštruktúry, najčastejšie v prostrediach Amazon Web Services a Microsoft Azure, čím sa postihnuté organizácie menia na vedľajšie obete.

Industrializované využívanie vo veľkom meradle

Namiesto spoliehania sa na nové techniky kladie TeamPCP dôraz na rozsah a automatizáciu. Operácia kombinuje zavedené nástroje, známe zraniteľnosti a široko zdokumentované chybné konfigurácie s cieľom industrializovať zneužívanie. Kompromitované prostredia sa transformujú na samovoľne sa šíriaci kriminálny ekosystém, ktorý podporuje skenovanie, laterálny pohyb, perzistenciu a monetizáciu.

Medzi hlavné ciele patrí budovanie distribuovanej proxy a skenovacej infraštruktúry, exfiltrácia dát, nasadzovanie ransomvéru, vykonávanie vydieračských kampaní a ťažba kryptomien. Kompromitované aktíva sa tiež preorientujú na hosťovanie dát, proxy služby a relé velenia a riadenia.

Modulárne užitočné zaťaženia a cloud-aware nástroje

Úspešný počiatočný prístup umožňuje doručovanie sekundárnych dát z externých serverov, zvyčajne v shellovom alebo Python formáte, ktoré sú navrhnuté tak, aby rozšírili dosah kampane. Centrálny komponent proxy.sh inštaluje proxy, peer-to-peer a tunelovacie nástroje a zároveň nasadzuje skenery, ktoré neustále prehľadávajú internet a hľadajú nové zraniteľné ciele.

Je pozoruhodné, že proxy.sh vykonáva odtlačky runtime prostredia, aby zistil, či sa spúšťa v klastri Kubernetes. Keď sa zistí takéto prostredie, skript sleduje samostatnú cestu vykonávania a nasadzuje dáta špecifické pre klaster, čím zdôrazňuje prispôsobený prístup skupiny k cloudovo natívnym cieľom.

Podmnožina podporných užitočných zaťažení zahŕňa:

  • scanner.py, ktorý sťahuje rozsahy CIDR z účtu GitHub spojeného s DeadCatx3 na lokalizáciu nesprávne nakonfigurovaných rozhraní Docker API a dashboardov Ray s voliteľnou ťažbou kryptomien prostredníctvom mine.sh
  • kube.py, ktorý sa zameriava na zhromažďovanie poverení Kubernetes, objavovanie podov a menných priestorov založené na API, šírenie prostredníctvom prístupných podov a perzistenciu prostredníctvom privilegovaných podov pripojených na každom uzle.
  • react.py, ktorý zneužíva zraniteľnosť Reactu (CVE-2025-29927) na dosiahnutie vzdialeného vykonávania príkazov vo veľkom rozsahu
  • pcpcat.py, ktorý prehľadáva rozsiahle rozsahy IP adries a hľadá odhalené rozhrania Docker API a dashboardy Ray a nasadzuje škodlivé kontajnery alebo úlohy spúšťajúce užitočné zaťaženia kódované v Base64.

Schopnosti velenia a riadenia a po vykorisťovaní

Výskumníci prepojili uzol velenia a riadenia na adrese 67.217.57[.]240 s operáciou a zaznamenali prekrývanie s používaním Sliveru, legitímneho open-source C2 frameworku, ktorý útočníci často zneužívajú počas fáz po zneužití.

Hybridný model monetizácie vytvorený pre odolnosť

Kampaň PCPcat demonštruje kompletný životný cyklus útoku, skenovanie, zneužívanie, perzistenciu, tunelovanie, krádež dát a monetizáciu, navrhnutý špeciálne pre cloudovú infraštruktúru. Hlavné nebezpečenstvo, ktoré predstavuje TeamPCP, nespočíva v technických inováciách, ale v operačnej integrácii a rozsahu. Väčšina exploitov a malvéru využíva dobre známe zraniteľnosti a mierne upravené nástroje s otvoreným zdrojovým kódom.

Skupina zároveň kombinuje zneužívanie infraštruktúry s krádežou údajov a vydieraním. Uniknuté databázy životopisov, záznamy o identite a firemné údaje sú zverejňované prostredníctvom ShellForce na podporu operácií s ransomvérom, podvodov a budovania reputácie v ekosystéme kyberkriminality. Táto stratégia dvojitej monetizácie, ktorá profituje z výpočtových zdrojov aj ukradnutých informácií, poskytuje viacero zdrojov príjmov a zvyšuje odolnosť voči narušeniam a zastaveniu činnosti.

Trendy

Podvod s overením poštového servera IMAP/POP3

Phishing, Spam
V dnešnom digitálnom prostredí plnom hrozieb je nevyhnutná ostražitosť pri riešení neočakávaných alebo alarmujúcich e-mailov. Kyberzločinci sa často vydávajú za poskytovateľov služieb, aby vytvorili falošný pocit naliehavosti a tlačili príjemcov k unáhleným rozhodnutiam. Jedným z nedávnych príkladov je podvod typu IMAP/POP3 Mail Server Verification Failure Scam, čo je phishingová kampaň, ktorá...

Najviac videné

Načítava...