Группа PCPJack вытесняет операторов TeamPCP и захватывает их скомпрометированные сети

Исследователи SentinelOne зафиксировали кампанию, в которой неизвестная группа, получившая имя PCPJack, специально атакует уже скомпрометированные TeamPCP системы, немедленно выталкивает из них операторов TeamPCP и удаляет оставленные ими инструменты. Это меняет распределение контроля над ранее заражённой инфраструктурой и повышает риск дальнейшей экспансии вредоносного кода в облачных средах. Аналитик SentinelOne Алекс Деламотт подробно описал операцию PCPJack в отчёте компании: после захвата учётных данных злоумышленники разворачивают код, который распространяется по облачной инфраструктуре подобно «червю», похищает разные типы учётных данных и отправляет украденные данные на инфраструктуру PCPJack. Кроме того, их инструменты фиксируют случаи, где им удалось выгнать TeamPCP, и пересылают эту статистику обратно операторам PCPJack.

Помимо отработки уже скомпрометированных инстансов, атакующие сканируют интернет в поисках уязвимых сервисов: виртуальные машины, платформы контейнеризации типа Docker, базы данных MongoDB и другие открытые сервисы. По набору целей и сигналам активности Деламотт отмечает, что профиль атак PCPJack во многом напоминает декабрь — январские кампании TeamPCP, существовавшие до предполагаемых изменений в составе группы в феврале — марте. Деламотт также указывает, что в последние недели TeamPCP связывают с рядом громких инцидентов: вмешательством в облачную инфраструктуру Европейской комиссии и широкомасштабным заражением инструмента сканирования уязвимостей Trivvy, что затронуло компании, использующие его, в том числе LiteLLM и стартап по подбору персонала Mercor. Наличие новой группы на этих же целевых классах может усилить давление на пострадавшие организации и их поставщиков.

Исследователь выдвигает три гипотезы происхождения PCPJack: недовольные бывшие члены TeamPCP, конкурирующая преступная группировка или третья сторона, смоделировавшая свои инструменты по образцу ранних кампаний TeamPCP. Каждая из этих версий предполагает разные мотивы и возможные изменения в тактиках и целях атакующих. Операторы PCPJack, судя по наблюдаемой активности, ориентированы на прямую монетизацию: они крадут и перепродают учётные данные, продают доступ как initial access brokers либо шантажируют жертв. Установок майнеров криптовалют в зафиксированных кампаниях не обнаружено — исследователи предполагают, что майнинг даёт меньшую окупаемость. Для защитников это означает необходимость проверки уже скомпрометированных систем на наличие «вторичных» захватов, ротации ключей и паролей, усиленного мониторинга экспонированных Docker/MongoDB‑сервисов и сигналов самораспространяющегося кода.