TeamPCP Worm

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், கிளவுட்-பூர்வீக சூழல்களை முறையாக குறிவைத்து, அடுத்தடுத்த சுரண்டலுக்கான தீங்கிழைக்கும் உள்கட்டமைப்பை உருவாக்குவதற்கான ஒரு பரந்த, புழு-இயக்கப்படும் பிரச்சாரத்தை கண்டுபிடித்துள்ளனர். இந்த நடவடிக்கையுடன் தொடர்புடைய செயல்பாடு டிசம்பர் 25, 2025 அன்று காணப்பட்டது, இது நவீன கிளவுட் அடுக்குகளில் வெளிப்படும் சேவைகள் மற்றும் பாதிப்புகளை துஷ்பிரயோகம் செய்வதற்கான ஒருங்கிணைந்த முயற்சியை வெளிப்படுத்தியது.

TeamPCP: வேகமாக வளர்ந்து வரும் அச்சுறுத்தல் கூட்டம்

இந்தப் பிரச்சாரம் TeamPCP என கண்காணிக்கப்படும் ஒரு அச்சுறுத்தல் குழுவால் ஏற்பட்டதாகக் கூறப்படுகிறது, இது DeadCatx3, PCPcat, PersyPCP மற்றும் ShellForce உள்ளிட்ட மாற்றுப் பெயர்களால் அழைக்கப்படுகிறது. இந்தக் குழு குறைந்தது நவம்பர் 2025 முதல் செயல்பட்டு வருவதாகவும், தொடர்புடைய டெலிகிராம் செயல்பாடு ஜூலை 30, 2025 வரை இருப்பதாகவும் சான்றுகள் தெரிவிக்கின்றன. 700 க்கும் மேற்பட்ட உறுப்பினர்களாக வளர்ந்துள்ள TeamPCP டெலிகிராம் சேனல், கனடா, செர்பியா, தென் கொரியா, ஐக்கிய அரபு எமிரேட்ஸ் மற்றும் அமெரிக்காவில் பாதிக்கப்பட்டவர்களுடன் தொடர்புடைய திருடப்பட்ட தரவை வெளியிடப் பயன்படுத்தப்படுகிறது.

ஆராய்ச்சியாளர்கள் முதன்முதலில் நடிகரின் செயல்பாடுகளை டிசம்பர் 2025 இல் ஆபரேஷன் PCPcat என்ற பெயரில் ஆவணப்படுத்தினர்.

மேக-பூர்வீக பலவீனங்களின் சந்தர்ப்பவாத துஷ்பிரயோகம்

TeamPCP, கிளவுட்-நேட்டிவ் சைபர் கிரைம் தளமாக செயல்படுகிறது, இது வெளிப்படும் மேலாண்மை இடைமுகங்கள், பொதுவான தவறான உள்ளமைவுகள் மற்றும் சமீபத்தில் வெளிப்படுத்தப்பட்ட React2Shell குறைபாடு (CVE-2025-55182, CVSS 10.0) உள்ளிட்ட முக்கியமான பாதிப்புகளைப் பயன்படுத்துகிறது. பிரச்சாரத்தில் காணப்பட்ட முதன்மை தொற்று பாதைகள் பின்வருமாறு:

வெளிப்படுத்தப்பட்ட டாக்கர் APIகள், Kubernetes APIகள், Ray டேஷ்போர்டுகள், Redis சர்வர்கள் மற்றும் பாதிக்கப்படக்கூடிய React/Next.js பயன்பாடுகள்

இந்த பலவீனங்கள் குறிப்பிட்ட தொழில்களை குறிவைக்க அல்ல, மாறாக சந்தர்ப்பவாதமாக உள்கட்டமைப்பைக் கைப்பற்றுவதற்காகப் பயன்படுத்தப்படுகின்றன, பெரும்பாலும் அமேசான் வலை சேவைகள் மற்றும் மைக்ரோசாஃப்ட் அஸூர் சூழல்களுக்குள், பாதிக்கப்பட்ட நிறுவனங்களை இணை பாதிக்கப்பட்டவர்களாக மாற்றுகின்றன.

அளவில் தொழில்மயமாக்கப்பட்ட சுரண்டல்

புதுமையான நுட்பங்களை நம்புவதற்குப் பதிலாக, TeamPCP அளவு மற்றும் தானியங்கிமயமாக்கலை வலியுறுத்துகிறது. இந்த செயல்பாடு நிறுவப்பட்ட கருவிகள், அறியப்பட்ட பாதிப்புகள் மற்றும் பரவலாக ஆவணப்படுத்தப்பட்ட தவறான உள்ளமைவுகளை ஒருங்கிணைத்து சுரண்டலை தொழில்மயமாக்குகிறது. சமரசம் செய்யப்பட்ட சூழல்கள் ஸ்கேனிங், பக்கவாட்டு இயக்கம், நிலைத்தன்மை மற்றும் பணமாக்குதலை ஆதரிக்கும் ஒரு சுய-பிரச்சார குற்றவியல் சுற்றுச்சூழல் அமைப்பாக மாற்றப்படுகின்றன.

விநியோகிக்கப்பட்ட ப்ராக்ஸி மற்றும் ஸ்கேனிங் உள்கட்டமைப்பை உருவாக்குதல், தரவை வெளியேற்றுதல், ரான்சம்வேரைப் பயன்படுத்துதல், மிரட்டி பணம் பறித்தல் பிரச்சாரங்களை நடத்துதல் மற்றும் கிரிப்டோகரன்சியை சுரங்கப்படுத்துதல் ஆகியவை முக்கிய நோக்கங்களில் அடங்கும். சமரசம் செய்யப்பட்ட சொத்துக்கள் தரவு ஹோஸ்டிங், ப்ராக்ஸி சேவைகள் மற்றும் கட்டளை மற்றும் கட்டுப்பாட்டு ரிலேக்களுக்காகவும் மீண்டும் பயன்படுத்தப்படுகின்றன.

மாடுலர் பேலோடுகள் மற்றும் கிளவுட்-விழிப்புணர்வு கருவி

வெற்றிகரமான ஆரம்ப அணுகல், பிரச்சாரத்தின் வரம்பை விரிவுபடுத்த வடிவமைக்கப்பட்ட, பொதுவாக ஷெல் அல்லது பைதான் வடிவத்தில், வெளிப்புற சேவையகங்களிலிருந்து இரண்டாம் நிலை பேலோடுகளை வழங்க உதவுகிறது. ஒரு மையக் கூறு, proxy.sh, ப்ராக்ஸி, பியர்-டு-பியர் மற்றும் டன்னலிங் பயன்பாடுகளை நிறுவுகிறது, அதே நேரத்தில் புதிய பாதிக்கப்படக்கூடிய இலக்குகளுக்காக இணையத்தை தொடர்ந்து ஆராயும் ஸ்கேனர்களைப் பயன்படுத்துகிறது.

குறிப்பாக, proxy.sh, குபெர்னெட்ஸ் கிளஸ்டருக்குள் இயங்குகிறதா என்பதைத் தீர்மானிக்க, இயக்க நேர சூழல் கைரேகையை செய்கிறது. அத்தகைய சூழல் கண்டறியப்படும்போது, ஸ்கிரிப்ட் ஒரு தனி செயல்படுத்தல் பாதையைப் பின்பற்றி, கிளஸ்டர்-குறிப்பிட்ட பேலோடுகளைப் பயன்படுத்துகிறது, இது கிளவுட்-நேட்டிவ் இலக்குகளுக்கு குழுவின் வடிவமைக்கப்பட்ட அணுகுமுறையை அடிக்கோடிட்டுக் காட்டுகிறது.

துணை சுமைகளின் துணைக்குழுவில் பின்வருவன அடங்கும்:

• தவறாக உள்ளமைக்கப்பட்ட டாக்கர் APIகள் மற்றும் ரே டேஷ்போர்டுகளைக் கண்டறிய, deadCatx3 உடன் தொடர்புடைய GitHub கணக்கிலிருந்து CIDR வரம்புகளைப் பதிவிறக்கும் scanner.py, mine.sh வழியாக விருப்ப கிரிப்டோகரன்சி மைனிங் மூலம்.
• kube.py, இது குபெர்னெட்டின் நற்சான்றிதழ் அறுவடை, API- அடிப்படையிலான பாட்கள் மற்றும் பெயர்வெளிகளைக் கண்டறிதல், அணுகக்கூடிய பாட்கள் மூலம் பரப்புதல் மற்றும் ஒவ்வொரு முனையிலும் பொருத்தப்பட்ட சலுகை பெற்ற பாட்கள் வழியாக நிலைத்தன்மை ஆகியவற்றில் கவனம் செலுத்துகிறது.
• react.py, இது ஒரு React பாதிப்பை (CVE-2025-29927) பயன்படுத்தி, தொலை கட்டளை செயல்படுத்தலை அளவில் அடைகிறது.
• pcpcat.py, இது வெளிப்படும் டாக்கர் APIகள் மற்றும் ரே டேஷ்போர்டுகளுக்கான பெரிய IP வரம்புகளை ஸ்கேன் செய்கிறது மற்றும் Base64-குறியிடப்பட்ட பேலோடுகளை இயக்கும் தீங்கிழைக்கும் கொள்கலன்கள் அல்லது வேலைகளை வரிசைப்படுத்துகிறது.

கட்டளை மற்றும் கட்டுப்பாடு மற்றும் சுரண்டலுக்குப் பிந்தைய திறன்கள்

ஆராய்ச்சியாளர்கள் 67.217.57[.]240 இல் உள்ள கட்டளை-மற்றும்-கட்டுப்பாட்டு முனையை செயல்பாட்டுடன் இணைத்துள்ளனர், சுரண்டலுக்குப் பிந்தைய கட்டங்களில் அச்சுறுத்தல் நடிகர்களால் அடிக்கடி துஷ்பிரயோகம் செய்யப்படும் ஒரு முறையான திறந்த மூல C2 கட்டமைப்பான Sliver இன் பயன்பாட்டுடன் ஒன்றுடன் ஒன்று தொடர்புடையவற்றைக் குறிப்பிட்டுள்ளனர்.

மீள்தன்மைக்காக உருவாக்கப்பட்ட ஒரு கலப்பின பணமாக்குதல் மாதிரி

PCPcat பிரச்சாரம், கிளவுட் உள்கட்டமைப்பிற்காக பிரத்யேகமாக வடிவமைக்கப்பட்ட முழுமையான தாக்குதல் வாழ்க்கைச் சுழற்சி, ஸ்கேனிங், சுரண்டல், நிலைத்தன்மை, சுரங்கப்பாதை, தரவு திருட்டு மற்றும் பணமாக்குதல் ஆகியவற்றை நிரூபிக்கிறது. TeamPCP ஆல் ஏற்படும் முதன்மை ஆபத்து தொழில்நுட்ப கண்டுபிடிப்புகளில் இல்லை, மாறாக செயல்பாட்டு ஒருங்கிணைப்பு மற்றும் அளவில் உள்ளது. பெரும்பாலான சுரண்டல்கள் மற்றும் தீம்பொருள்கள் நன்கு அறியப்பட்ட பாதிப்புகள் மற்றும் லேசாக மாற்றியமைக்கப்பட்ட திறந்த மூல கருவிகளைப் பயன்படுத்துகின்றன.

அதே நேரத்தில், இந்தக் குழு உள்கட்டமைப்பு துஷ்பிரயோகத்தை தரவு திருட்டு மற்றும் மிரட்டி பணம் பறிப்புடன் கலக்கிறது. கசிந்த CV தரவுத்தளங்கள், அடையாளப் பதிவுகள் மற்றும் பெருநிறுவனத் தரவுகள் ஷெல்ஃபோர்ஸ் மூலம் வெளியிடப்படுகின்றன, அவை சைபர் கிரைம் சுற்றுச்சூழல் அமைப்பிற்குள் ரான்சம்வேர் செயல்பாடுகள், மோசடி மற்றும் நற்பெயரை உருவாக்குவதற்கு எரிபொருளாகின்றன. கணினி வளங்கள் மற்றும் திருடப்பட்ட தகவல்கள் இரண்டிலிருந்தும் லாபம் ஈட்டும் இந்த இரட்டை பணமாக்குதல் உத்தி, பல வருவாய் நீரோடைகளை வழங்குகிறது மற்றும் இடையூறுகள் மற்றும் தரமிறக்குதல்களுக்கு எதிரான மீள்தன்மையை அதிகரிக்கிறது.