Los investigadores de ciberseguridad han revelado detalles de un nuevo marco de robo de credenciales llamado PCPJack que apunta a la infraestructura de nube expuesta y expulsa del entorno cualquier artefacto vinculado a TeamPCP.
«Este conjunto de herramientas recopila credenciales de la nube, contenedores, desarrolladores, productividad y servicios financieros, roba datos a través de una infraestructura controlada por atacantes e intenta difundirlos a hosts adicionales», dijo el investigador de seguridad de SentinelOne, Alex Delamotte, en un informe publicado hoy.
PCPJack está diseñado específicamente para apuntar a servicios en la nube y aplicaciones web vulnerables como Docker, Kubernetes, Redis, MongoDB y RayML, lo que permite a los operadores propagarse como un gusano y moverse lateralmente dentro de una red comprometida.
Se considera que el objetivo final de las campañas de ataque a la nube es generar ingresos ilícitos para los actores de amenazas mediante el robo de credenciales, el fraude, el spam, la extorsión o la reventa de acceso robado. de
Lo notable de esta actividad es la importante superposición de objetivos con TeamPCP. TeamPCP saltó a la fama a finales del año pasado al explotar vulnerabilidades de seguridad conocidas (como React2Shell) y configuraciones erróneas en los servicios en la nube para unir puntos finales en una red en constante expansión con el fin de realizar robo de datos y otras acciones posteriores a la explotación.
Al mismo tiempo, a diferencia de TeamPCP, PCPJack no tiene un componente de minería de criptomonedas. No está claro por qué no se adoptó esta obvia estrategia de monetización, pero las similitudes entre los dos grupos indican que PCPJack puede ser obra de un ex miembro del TeamPCP con conocimientos técnicos.
El punto de partida del ataque es un script de shell de arranque que se utiliza para preparar el entorno, incluida la configuración del host de carga útil y la descarga de herramientas de la siguiente etapa. Al mismo tiempo, infecta su propia infraestructura, finaliza y elimina procesos o artefactos asociados con TeamPCP, instala Python, establece persistencia, descarga seis scripts de Python, inicia scripts de orquestación y se elimina a sí mismo.
Las seis cargas útiles de Python son:
worm.py (escrito en el disco como monitor.py), el orquestador principal que lanza módulos dedicados, es vulnerable a fallas conocidas (CVE-2025-55182, CVE-2025-29927, CVE-2026-1357, CVE-2025-9501 y CVE-2025-48703) en comando y control (C2). Utilice Telegrama. parser.py (utils.py), que maneja la extracción de credenciales para clasificar claves y secretos robados. larate.py (_lat.py), que facilita el reconocimiento, recopila secretos y permite el movimiento lateral entre servicios SSH, Kubernetes, Docker, Redis, RayML y MongoDB. crypto_util.py (_cu.py), que cifra las credenciales antes de filtrarlas al canal de Telegram del atacante; cloud_ranges.py (_cr.py), que recopila rangos de direcciones IP asignados a Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Cloudflare, Cloudfront y Fastly y actualiza los datos cada 24 horas; cloud_scan.py (_csc.py), que cifra las credenciales antes de filtrarlas al canal de Telegram del atacante; cloud_scan.py (_csc.py); nube para propagación externa vía Docker y Kubernetes; Ejecute un escaneo de puertos. Servicio MongoDB, RayML o Redis
Los objetivos de propagación del script del orquestador provienen de archivos parquet que el gusano extrae directamente de Common Crawl, una organización sin fines de lucro que rastrea la web y pone sus archivos y conjuntos de datos a disposición del público sin costo adicional.
«Mientras roban información y credenciales del sistema, los operadores de PCPJack también recopilan métricas de éxito con respecto a si TeamPCP fue eliminado del entorno de destino en el campo ‘intercambio de PCP’ enviado al C2», dijo Delamotte. Esto «significa un enfoque directo en la actividad de los actores de amenazas, en lugar de un puro oportunismo de ataque a la nube».
Un análisis más detallado de la infraestructura del actor de amenazas reveló otro script de shell (‘check.sh’) que detecta la arquitectura de la CPU y recupera el binario Sliver apropiado. También escanea los puntos finales del Servicio de metadatos de instancia (IMDS), las cuentas de servicio de Kubernetes y las instancias de Docker en busca de credenciales asociadas con Anthropic, Digital Ocean, Discord, API de Google, Grafana Cloud, HashiCorp Vault, OnePassword y OpenAI, y las envía a servidores externos.
«En general, los dos conjuntos de herramientas están bien desarrollados y demuestran el enfoque de los propietarios en escribir código como marcos modulares, a pesar de cierta redundancia en el comportamiento», dijo SentinelOne. «Esta campaña elimina intencionalmente la funcionalidad de los mineros relacionada con TeamPCP (sin implementar mineros). Sin embargo, este actor tiene un alcance bien definido para exfiltrar credenciales de criptomonedas».
Source link
