TeamPCP 蠕虫利用云基础设施构建犯罪平台
HackerNews 编译,转载请注明出处: 网络安全研究人员披露一起“大规模的活动”,该活动系统地针对云原生环境,搭建恶意基础设施以实施后续攻击。 该活动于 2025 年 12 月 25 日左右被发现,属于 “蠕虫式传播” 攻击,利用暴露的 Docker API、Kubernetes 集群、Ray 面板、Redis 服务器,以及近期披露的 React2Shell(CVE-2025-55182,CVSS 评分 10.0)漏洞。该行动由威胁集群 TeamPCP(别名 DeadCatx3、PCPcat、PersyPCP、ShellForce)实施。 TeamPCP 至少自 2025 年 11 月起活跃,其首个 Telegram 活动记录可追溯至 2025 年 7 月 30 日。该组织的 Telegram 频道目前拥有超 700 名成员,用于发布从加拿大、塞尔维亚、韩国、阿联酋、美国等多国受害者处窃取的数据。安全研究机构 Beelzebub 于 2025 年 12 月首次以 Operation PCPcat 为代号记录了该威胁组织的详细信息。 Flare 安全研究员 Assaf Morag 在上周发布的报告中表示:“该行动的目标是大规模搭建分布式代理与扫描基础设施,进而攻陷服务器、窃取数据、部署勒索软件、实施敲诈并挖掘加密货币。” TeamPCP 以云原生网络犯罪平台为运作模式,利用配置错误的 Docker API、Kubernetes API、Ray 面板、Redis 服务器及存在漏洞的 React/Next.js 应用作为主要感染入口,攻破现代化云基础设施实施数据窃取与敲诈。 此外,遭攻陷的基础设施还被用于多种非法用途,包括加密货币挖矿、数据托管、代理转发与命令与控制(C2)中继。 TeamPCP 并未使用新型攻击手法,而是依托成熟的攻击技术 —— 包括现有工具、已知漏洞和常见配置错误 —— 搭建自动化、批量化的攻击平台。Flare 指出,这一模式将暴露的基础设施转化为 “自我传播的犯罪生态系统”。 漏洞成功利用后,攻击者会从外部服务器部署下一阶段恶意载荷,包括基于 Shell 和 Python 的脚本,用于搜寻新目标以扩大攻击范围。核心组件之一为 proxy.sh,该脚本用于安装代理、点对点(P2P)与隧道工具,并投放各类扫描器,持续在互联网中搜寻存在漏洞与配置错误的服务器。 Morag 表示:“值得注意的是,proxy.sh 在执行时进行环境指纹识别。在运行早期,它会检查自己是否在 Kubernetes 集群内运行。如果检测到 Kubernetes 环境,脚本会转入一个独立的执行路径,并投放一个针对集群的二级有效载荷,这表明 TeamPCP 为云原生目标维护着不同的工具和技术,而不是仅仅依赖通用的 Linux 恶意软件。” 其他有效载荷的简要说明如下: · scanner.py:旨在通过从一个名为“DeadCatx3”的 GitHub 账户下载无类别域间路由(CIDR)列表,来查找配置不当的 Docker API 和 Ray 仪表板,同时提供运行加密货币矿工(“mine.sh”)的选项。 · kube.py:包含针对 Kubernetes 的功能,以进行集群凭据窃取和基于 API 的资源(如 Pod 和命名空间)发现,然后向可访问的 Pod 中投放“proxy.sh”以进行更广泛的传播,并通过在每个挂载了主机目录的节点上部署特权 Pod 来建立持久后门。 · react.py:旨在利用 React 漏洞(CVE-2025-29927)实现大规模的远程命令执行。 · pcpcat.py:旨在发现大范围 IP 地址段内暴露的 Docker API 和 Ray 仪表板,并自动部署执行 Base64 编码有效载荷的恶意容器或作业。 · Flare 表示,位于 67.217.57[.]240 的 C2 服务器节点也与 Sliver 的运作相关联,Sliver 是一个已知被威胁行为者滥用于攻击后目的的开源 C2 框架。 该安全公司的数据显示,攻击者主要针对亚马逊云(AWS)和微软云(Azure)环境。此类攻击属于机会主义攻击,核心瞄准能支撑其犯罪目标的基础设施,而非特定行业。这导致运行此类云基础设施的机构成为攻击中的 “附带受害者”。 Morag 称:“PCPcat 行动展现了专为现代化云基础设施设计的完整攻击生命周期,涵盖扫描、漏洞利用、持久化、隧道搭建、数据窃取与非法牟利。TeamPCP 的威胁性并非源于技术创新,而是其攻击流程的整合度与攻击规模。” 深度分析显示,该组织的大部分漏洞利用程序与恶意软件均基于已知漏洞和轻度修改的开源工具开发。 “与此同时,TeamPCP 将基础设施攻击、数据窃取与敲诈勒索相结合。窃取的简历数据库、身份信息与企业数据通过 ShellForce 渠道泄露,用于支撑勒索软件、网络诈骗等犯罪活动,并树立其网络犯罪影响力。” 这种混合模式使该组织可同时通过算力与信息非法牟利,形成多元收入来源,提升对抗平台关停的能力。 消息来源: thehackernews.com: 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Cetus:针对 Docker daemons 的加密劫持蠕虫
摘要 自容器诞生以来,安全专家就将不安全的Docker daemons 称为主要威胁。我们最近还撰写了有关Graboid(第一个Docker密码劫持蠕虫和不安全的Docker daemons)的文章。我通过设置Docker daemons蜜罐进行了进一步的研究,以研究在野外寻找普通Docker daemons的情况,并了解由COVID-19导致的向云的转移是否增加了针对性云攻击的普及率和复杂性。 本文将详细介绍Cetus的发现,Cetus是针对Monero的一种新的和改进的Docker密码劫持蠕虫挖掘,可在我们创建的Docker daemons蜜罐中找到。 蜜罐 为了进行研究,我设置了受限的Docker daemons,并记录了5月份的所有流量。在这段时间里,我目睹了各种各样的攻击,从僵尸网络到蠕虫,一切都在进行,其中大多数是为了进行加密劫持,特别是对门罗币。 最常见的攻击之一引起了我的注意,因为它具有蠕虫的潜在特征。与其他攻击不同,蜜罐在这里受到来自许多不同的不安全Docker daemons实例的攻击。根据我的honeypot部署和其他有关容器安全性的研究项目,看到蠕虫针对不安全的Docker daemons的情况并不常见。我分析有效负载,并确定这是一个新的Docker蠕虫:恶意软件的每个实例都试图发现和感染本地网络和外部的其他Docker daemons实例。 Cetus如何运作 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1322/ 消息与封面来源:paloalto ,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
研究人员发现了具有僵尸网络功能勒索功能和挖掘加密货币功能的新蠕虫
Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。正如Unit 42所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。 据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB,并要求比特币赎金恢复数据。 另一方面,Xbash的加密货币挖掘和自传播模块旨在使用未修补的Hadoop,Redis和ActiveMQ数据库中的已知漏洞来破坏Windows系统。此外,Xbash具有自我传播的能力,类似于Petya / NoPetya和WannaCry的能力,以及尚未启用的传播功能集合,但可以使其在企业或家庭网络中快速传播。 Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能,所有这些功能都会模糊其恶意行为,以防止反恶意软件工具检测到它。Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金。 稿源:cnBeta,封面源自网络;
挖矿蠕虫 WannaMine:通过 NSA “永恒之蓝” 漏洞传播高级加密矿工
外媒 2 月1 日报道,安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫,其利用与 NSA 相关的 EternalBlue (“ 永恒之蓝 ” )漏洞进行传播。据研究人员测试,WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统(包括 64 位版本和 Windows Server 2003),并使其设备性能明显下降。 CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响,比如由于如此高的 CPU 利用率,导致矿业公司的系统以及应用程序崩溃。 研究人员经过分析后发现 WannaMine 的恶意代码十分复杂,因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是:WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后,WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。 研究人员注意到,WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据,从而达到横向移动的目的,但如果不能够横向移动的话,WannaMine 将更依赖于 EternalBlue 的利用。 相关报告: <Threat Hunting, the Investigation of Fileless Malware Attacks> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。