Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) Črv TeamPCP

Črv TeamPCP

Do leta Mezo leta Napredna trajna grožnja (APT), Zlonamerna programska oprema, Črvi
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili obsežno kampanjo, ki jo poganjajo črvi in sistematično cilja na oblačna okolja z namenom gradnje zlonamerne infrastrukture za kasnejšo izkoriščanje. Aktivnost, povezana s to operacijo, je bila opažena okoli 25. decembra 2025, kar razkriva usklajen poskus zlorabe izpostavljenih storitev in ranljivosti v sodobnih oblačnih skladih.

TeamPCP: Hitro nastajajoča skupina groženj

Kampanja je bila pripisana skupini groženj, ki jo spremljajo kot TeamPCP, znano tudi pod vzdevki DeadCatx3, PCPcat, PersyPCP in ShellForce. Dokazi kažejo, da skupina deluje vsaj od novembra 2025, s tem povezana dejavnost v Telegramu pa sega v 30. julij 2025. Telegram kanal TeamPCP, ki je zrasel na več kot 700 članov, se uporablja za objavljanje ukradenih podatkov, povezanih z žrtvami v Kanadi, Srbiji, Južni Koreji, Združenih arabskih emiratih in Združenih državah Amerike.

Raziskovalci so prvič dokumentirali delovanje igralca decembra 2025 pod oznako Operacija PCPcat.

Oportunistična zloraba slabosti oblačnih rešitev

TeamPCP deluje kot platforma za kibernetsko kriminaliteto, ki je izvorno zasnovana v oblaku in izkorišča izpostavljene vmesnike za upravljanje, pogoste napačne konfiguracije in kritične ranljivosti, vključno z nedavno razkrito napako React2Shell (CVE-2025-55182, CVSS 10.0). Glavne poti okužbe, opažene v kampanji, vključujejo:

Izpostavljeni Docker API-ji, Kubernetes API-ji, Ray nadzorne plošče, Redis strežniki in ranljive aplikacije React/Next.js

Te slabosti se izkoriščajo ne za ciljanje na določene panoge, temveč za oportunistično zaseg infrastrukture, najpogosteje v okoljih Amazon Web Services in Microsoft Azure, s čimer se prizadete organizacije spremenijo v kolateralne žrtve.

Industrializirano izkoriščanje v velikem obsegu

Namesto da bi se zanašal na nove tehnike, TeamPCP poudarja obseg in avtomatizacijo. Operacija združuje uveljavljena orodja, znane ranljivosti in široko dokumentirane napačne konfiguracije za industrializacijo izkoriščanja. Ogrožena okolja se preoblikujejo v samorazmnoževalni kriminalni ekosistem, ki podpira skeniranje, lateralno gibanje, vztrajnost in monetizacijo.

Med glavnimi cilji so izgradnja porazdeljene infrastrukture za proxy in skeniranje, izkoriščanje podatkov, uporaba izsiljevalske programske opreme, izvajanje izsiljevalskih kampanj in rudarjenje kriptovalut. Ogrožena sredstva se prav tako uporabljajo za gostovanje podatkov, proxy storitve in releje za upravljanje in nadzor.

Modularni koristni tovori in orodja, ki so prilagojena oblaku

Uspešen začetni dostop omogoča dostavo sekundarnih koristnih podatkov iz zunanjih strežnikov, običajno v obliki lupine ali Pythona, ki so zasnovani za širitev dosega kampanje. Osrednja komponenta proxy.sh namesti pripomočke za proxy, peer-to-peer in tuneliranje, hkrati pa namešča skenerje, ki nenehno iščejo nove ranljive tarče na internetu.

Omeniti velja, da proxy.sh izvaja prstne odtise izvajalnega okolja, da ugotovi, ali se izvaja znotraj gruče Kubernetes. Ko je takšno okolje zaznano, skript sledi ločeni poti izvajanja in namesti koristne obremenitve, specifične za gručo, kar poudarja prilagojen pristop skupine k ciljem, ki so izvorni v oblaku.

Podmnožica podpornih koristnih tovorov vključuje:

  • scanner.py, ki prenaša obsege CIDR iz računa GitHub, povezanega z DeadCatx3, za iskanje napačno konfiguriranih Docker API-jev in nadzornih plošč Ray, z možnostjo rudarjenja kriptovalut prek mine.sh
  • kube.py, ki se osredotoča na zbiranje poverilnic Kubernetes, odkrivanje podov in imenskih prostorov na podlagi API-ja, širjenje prek dostopnih podov in vztrajnost prek privilegiranih podov, nameščenih na vsakem vozlišču.
  • react.py, ki izkorišča ranljivost Reacta (CVE-2025-29927) za doseganje oddaljenega izvajanja ukazov v velikem obsegu
  • pcpcat.py, ki skenira velike razpone IP-jev za izpostavljene Docker API-je in nadzorne plošče Ray ter namešča zlonamerne vsebnike ali opravila, ki izvajajo koristne tovore, kodirane v Base64.

Zmogljivosti poveljevanja in nadzora ter zmogljivosti po izkoriščanju

Raziskovalci so z operacijo povezali vozlišče za upravljanje in nadzor na naslovu 67.217.57[.]240, pri čemer so opazili prekrivanja z uporabo Sliverja, legitimnega odprtokodnega ogrodja C2, ki ga akterji groženj pogosto zlorabljajo v fazah po izkoriščanju.

Hibridni model monetizacije, zgrajen za odpornost

Kampanja PCPcat prikazuje celoten življenjski cikel napada, skeniranje, izkoriščanje, vztrajnost, tuneliranje, krajo podatkov in monetizacijo, zasnovan posebej za oblačno infrastrukturo. Glavna nevarnost, ki jo predstavlja TeamPCP, ni v tehničnih inovacijah, temveč v operativni integraciji in obsegu. Večina izkoriščanj in zlonamerne programske opreme izkorišča dobro znane ranljivosti in rahlo spremenjena orodja odprte kode.

Hkrati skupina združuje zlorabo infrastrukture s krajo podatkov in izsiljevanjem. Prek ShellForce se objavljajo razkrite baze podatkov življenjepisov, identitetni zapisi in poslovni podatki, da bi se spodbudile operacije izsiljevalske programske opreme, goljufije in gradnja ugleda znotraj ekosistema kibernetske kriminalitete. Ta strategija dvojne monetizacije, ki izkorišča tako računalniške vire kot ukradene informacije, zagotavlja več tokov prihodkov in povečuje odpornost proti motnjam in ukinitvam.

V trendu

Prevara z neuspešnim preverjanjem poštnega strežnika...

Lažno predstavljanje, Neželena pošta
V današnjem digitalnem okolju, polnem groženj, je bistvenega pomena, da ostanemo pozorni pri soočanju z nepričakovanimi ali zaskrbljujočimi e-poštnimi sporočili. Kibernetski kriminalci se pogosto izdajajo za ponudnike storitev, da ustvarijo lažen občutek nujnosti in pritiskajo na prejemnike, da sprejemajo prenagljene odločitve. Nedavni primer je prevara z neuspehom preverjanja poštnega...

Najbolj gledan

Nalaganje...