Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

PCPJack крадёт учётные данные через облачные сервисы

3 мин
SentinelLABS выявила новый credential-stealing framework под названием PCPJack, предназначенный для проникновения в открытые cloud-инфраструктуры и последующего распространения внутри целевых сред. По данным исследователей, вредоносная активность строится вокруг кражи учетных данных из популярных сервисов и веб-приложений, а не вокруг классической схемы с криптомайнингом. PCPJack ориентирован на сбор данных доступа из Docker, Kubernetes, Redis, MongoDB и других уязвимых web application. Такой подход позволяет злоумышленникам не только развивать external spread, но и выполнять lateral movement внутри корпоративной сети. Отличительная особенность этого ВПО заключается в том, что оно не развертывает cryptominer. Вместо этого акцент сделан на монетизации украденных учетных данных через мошенничество, спам и вымогательство. Цепочка заражения начинается со shell script bootstrap.sh, который подготавливает среду в системах Linux. После этого скрипт загружает и запускает дополнительные Python
Оглавление

SentinelLABS выявила новый credential-stealing framework под названием PCPJack, предназначенный для проникновения в открытые cloud-инфраструктуры и последующего распространения внутри целевых сред. По данным исследователей, вредоносная активность строится вокруг кражи учетных данных из популярных сервисов и веб-приложений, а не вокруг классической схемы с криптомайнингом.

Что такое PCPJack

PCPJack ориентирован на сбор данных доступа из Docker, Kubernetes, Redis, MongoDB и других уязвимых web application. Такой подход позволяет злоумышленникам не только развивать external spread, но и выполнять lateral movement внутри корпоративной сети.

Отличительная особенность этого ВПО заключается в том, что оно не развертывает cryptominer. Вместо этого акцент сделан на монетизации украденных учетных данных через мошенничество, спам и вымогательство.

Как происходит заражение

Цепочка заражения начинается со shell script bootstrap.sh, который подготавливает среду в системах Linux. После этого скрипт загружает и запускает дополнительные Python loader’ы внутри virtual environment.

Один из ключевых компонентов, monitor.py, отвечает за контроль процесса сбора учетных данных и одновременно удаляет любые процессы, связанные с группировкой TeamPCP. Именно эта точечная ориентация на артефакты TeamPCP заставила исследователей предположить, что PCPJack может управляться оператором, хорошо знакомым с методологиями этой группы.

Какие данные собирает вредонос

PCPJack использует несколько техник для кражи учетных данных и секретов. В частности, он ищет:

  • files конфигурации и secrets;
  • данные, содержащиеся в environment variables;
  • credentials службы метаданных экземпляров AWS IMDS;
  • SSH private keys.

Такой набор источников делает PCPJack опасным как для облачных сред, так и для инфраструктур, где секреты хранятся с нарушениями базовых принципов безопасности.

Механизмы lateral movement

Модули перемещения внутри компании в PCPJack эксплуатируют конкретные уязвимости в программных компонентах, чтобы распространяться по сети жертвы. Среди используемых методов — обращения к services Kubernetes и взаимодействие с Docker API.

По наблюдениям исследователей, запросы к Kubernetes нередко приводят к эксфильтрации конфиденциальной информации даже в условиях современных security configurations. Это подчеркивает, что недостаточно полагаться только на стандартные меры защиты: при компрометации узла злоумышленник может получить доступ к критически важным данным через легитимные интерфейсы управления.

C2 через Telegram и шифрование

Связь PCPJack с инфраструктурой управления C2 реализована через Telegram. Вредонос отправляет собранные данные в выделенный канал и получает оттуда operational commands.

Для сокрытия трафика и защиты данных во время передачи framework использует продвинутые криптографические механизмы, включая ECDH для exchange key и ChaCha20-Poly1305 для encryption. Это усложняет обнаружение и анализ перехваченного трафика.

Вторичный инструментарий

Помимо основного набора средств, анализ выявил и secondary toolkit злоумышленников. В него входит shell script check.sh, который:

  • собирает учетные данные из различных services;
  • определяет архитектуру системы;
  • подготавливает развертывание binary Sliver для beaconing.

Наличие такого инструментария указывает на modular design, обеспечивающий гибкость операций. В то же время исследователи отмечают и существенные промахи в operational security, включая использование незашифрованных учетных данных.

Вывод

PCPJack демонстрирует, как современные threat actors адаптируют свои инструменты под cloud-native environments, делая ставку на кражу учетных данных, скрытное распространение и последующую монетизацию доступа. Для компаний это еще одно напоминание о необходимости строгого контроля secrets, ограничения доступа к management interfaces и постоянного мониторинга активности в Docker, Kubernetes и связанных сервисах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "PCPJack крадёт учётные данные через облачные сервисы".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются