Новая группа хакеров наводнила Интернет в постоянной кампании, распространяющей саморазмножающуюся и ранее невидимую бэкдор, а также уничтожающую утилиту, нацеленную на иранские машины.
Группа, отслеживаемая под именем TeamPCP, впервые привлекла внимание в декабре, когда исследователи из компании безопасности Flare обнаружили, что она развернула червя, нацеленного на облачные платформы, которые не были должным образом защищены. Целью было создание распределенного прокси и сканирующей инфраструктуры, а затем использование её для компрометации серверов с целью эксфильтрации данных, развертывания программ-вымогателей, проведения вымогательства и добычи криптовалюты. Группа примечательна своей способностью к крупномасштабной автоматизации и интеграции известных атакующих техник.
Безжалостная и постоянно эволюционирующая
В последние недели TeamPCP ведет неустанную кампанию, использующую постоянно эволюционирующее вредоносное ПО, чтобы контролировать всё больше систем. На прошлой неделе она скомпрометировала практически все версии широко используемого сканера уязвимостей Trivy в атаке на цепочку поставок, получив привилегированный доступ к аккаунту GitHub компании Aqua Security, создателя Trivy.