Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

«Никакого майнинга, только чистый шпионаж. Почему новые атаки на облака стали ещё опаснее

leer en español

7137
PCPJack TeamPCP SentinelOne Kubernetes Алекс Деламотт облачная безопасность учетные данные
«Никакого майнинга, только чистый шпионаж. Почему новые атаки на облака стали ещё опаснее
PCPJack TeamPCP SentinelOne Kubernetes Алекс Деламотт облачная безопасность учетные данные

Одновременная эксплуатация пяти разных брешей делает процесс захвата необратимым.

image

PCPJack превратил охоту за облачными секретами в автоматизированную зачистку инфраструктуры. Новый инструмент не просто ворует ключи и пароли, а пытается расползаться по открытым сервисам, вытесняя следы TeamPCP — группировки, которая ранее активно использовала ошибки в облачных системах и уязвимых веб-приложениях.

О кампании сообщили специалисты SentinelOne. По данным автора отчёта, PCPJack собирает учётные данные из облачных, контейнерных, девелоперских, офисных и финансовых сервисов, а затем отправляет сведения через инфраструктуру злоумышленников. Целями стали Docker, Kubernetes, Redis, MongoDB, RayML и уязвимые веб-приложения.

Главная особенность PCPJack — поведение, похожее на сетевого червя. После попадания в среду инструмент готовит систему к заражению, загружает следующие компоненты, закрепляется, удаляет следы собственного установщика и запускает набор Python-скриптов. Один из модулей отвечает за управление атакой, кражу локальных секретов и распространение через CVE-2025-55182, CVE-2025-29927, CVE-2026-1357, CVE-2025-9501 и CVE-2025-48703. В качестве канала управления используется Telegram.

Другие компоненты извлекают ключи и токены, шифруют украденные данные перед отправкой, сканируют облачные диапазоны AWS, Google Cloud, Microsoft Azure, Cloudflare, Cloudfront и Fastly, а также ищут новые цели среди Docker, Kubernetes, MongoDB, RayML и Redis. Списки потенциальных жертв берутся из parquet-файлов Common Crawl, публичного архива данных веб-сканирования.

SentinelOne связывает кампанию с TeamPCP по пересечению целей и приёмов, но указывает на заметное отличие. PCPJack не запускает майнеры и даже удаляет функции, связанные с майнингом TeamPCP. При этом инструмент собирает метрики об успешном вытеснении TeamPCP из заражённых сред, что говорит не только об атаках на случайно найденные уязвимые облачные системы, но и о прямом интересе к инфраструктуре конкурирующего участника.

Дополнительный анализ выявил ещё один сценарий, который подбирает Sliver под архитектуру процессора и проверяет Instance Metadata Service, сервисные аккаунты Kubernetes и Docker-инстансы. Среди интересующих злоумышленников сервисов указаны Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword и OpenAI. Украденный доступ, по оценке SentinelOne, может использоваться для мошенничества, спама, вымогательства или перепродажи.