В необычном повороте событий, ломающем стереотипы о кибербезопасности, злоумышленники начали применять свои инструменты друг против друга. Новый отчет компании SentinelOne раскрывает детали необычной кампании под названием «PCPJack», в ходе которой неизвестная группа хакеров систематически атакует системы, уже скомпрометированные TeamPCP — плодовитой киберпреступной группировкой.
Вместо того чтобы атаковать беззащитные корпорации или частных лиц, эти злоумышленники проникают в среды, уже зараженные TeamPCP, насильно изгоняют первоначальных атакующих, удаляют их инструменты и захватывают контроль себе. Это явление подчеркивает растущий тренд в теневом мире киберпреступности: конкуренция за скомпрометированную инфраструктуру становится столь же жесткой, как и конкуренция за жертв.
Механика работы «PCPJack»
Операция PCPJack действует подобно цифровому уведомлению о выселении. Как только хакеры получают доступ к системе, контролируемой TeamPCP, они немедленно внедряют код, предназначенный для выполнения следующих задач:
- Вытеснение занимающих позицию: Удаление вредоносных инструментов TeamPCP и блокировка их доступа.
- Горизонтальное распространение: Копирование по облачной инфраструктуре с использованием червеобразных техник.
- Сбор учетных данных: Кража данных для входа и другой конфиденциальной информации.
- Экфильтрация данных: Отправка украденных активов на собственные серверы операторов PCPJack.
Исследователи из SentinelOne отметили, что инструменты атакующих даже ведут подсчет успешных «выселений», отправляя эту метрику на их командную инфраструктуру. Это указывает на высокоорганизованную операцию, сфокусированную на эффективности и масштабе.
Кто стоит за атакой?
Идентичность группы PCPJack остается неизвестной, однако старший исследователь SentinelOne Алекс Деламотт предложил три наиболее вероятных сценария:
- Недовольные бывшие участники: Бывшие члены TeamPCP, ищущие мести или стремящиеся отрубить своим бывшим работодателям источники дохода.
- Соперничающие преступные группировки: Конкурирующие синдикаты, желающие отбить ценные цели у TeamPCP.
- Атакующие-имитаторы: Третья сторона, изучившая методы TeamPCP и создавшая инструменты, специально предназначенные для противодействия или копирования их действий.
«Цели, которые атакует PCPJack, сильно напоминают кампании TeamPCP, проходившие в декабре-январе», — объяснил Деламотт, отметив, что время атаки указывает на прямой ответ на пик активности TeamPCP перед предположительными внутренними изменениями в группировке.
Зачем атаковать хакеров?
Мотивация PCPJack, судя по всему, исключительно финансовая. Крадя учетные данные из систем, уже взломанных TeamPCP, хакеры не пытаются создать новые точки входа, а монетизируют уже существующие. Их методы включают:
- Перепродажу учетных данных: Продажа украденных данных для входа на рынках даркнета.
- Брокеридж начального доступа: Продажа доступа к скомпрометированным системам другим преступникам, желающим запустить кампании по шифрованию данных или их краже.
- Прямое вымогательство: Шантаж первоначальных жертв (корпораций) с требованием выкупа.
Примечательно, что хакеры избегают майнинга криптовалюты. По словам Деламотта, майнинг требует значительных временных и ресурсных затрат для получения прибыли, тогда как кража учетных данных и брокеридж доступа предлагают более быстрые и высокомаржинальные доходы.
Общий контекст: возвышение TeamPCP
Чтобы понять значимость кампании PCPJack, необходимо взглянуть на TeamPCP — группировку, становящуюся целью атак. В последние недели TeamPCP снискала дурную славу благодаря крупным утечкам данных, включая:
- Компрометацию облачной инфраструктуры Европейской комиссии.
- Массовую атаку на Trivy, популярный сканер уязвимостей. Эта атака вызвала каскадный эффект, затронув компании, полагающиеся на Trivy, такие как LiteLLM и стартап в сфере AI-рекрутинга Mercor.
Поскольку TeamPCP агрессивно атакует облачную инфраструктуру, их скомпрометированные системы представляют собой «низко висящие фрукты» для других преступников. PCPJack по сути собирает спелые плоды, посаженные TeamPCP.
За пределами TeamPCP: сканирование более широкой сети
Хотя PCPJack делает основной акцент на вытеснении TeamPCP, эта группа не ограничивается этой нишей. Они также активно сканируют интернет в поисках открытых сервисов, включая:
- Платформы виртуальных машин Docker
- Базы данных MongoDB
- Другие незащищенные облачные сервисы
Такой двойной подход позволяет им поддерживать постоянный поток новых целей, одновременно ведя войны за территории с соперничающими преступными группами.
Фишинговый компонент
Помимо прямой хакерской активности, PCPJack использует тактики социальной инженерии. Исследователи выявили использование доменов, имитирующих менеджеры паролей и фейковые сайты служб поддержки. Эти фишинговые попытки направлены на то, чтобы обманом заставить пользователей добровольно передать свои учетные данные, которые затем используются для доступа к системам или их дальнейшей компрометации.
Заключение
Появление PCPJack подчеркивает критически важную реальность: кибербезопасность — это не только защита от внешних угроз, но и управление хаотической экосистемой преступной конкуренции. Когда хакеры атакуют других хакеров, конечный результат для первоначальной жертвы-корпорации часто остается прежним — кража данных, финансовые потери и репутационный ущерб. Для бизнеса это означает, что даже если взлом изначально был осуществлен одной группировкой, система может пройти через множество рук, что усложняет реагирование на инциденты и процессы восстановления.
