PCPJack 凭证窃取器利用 5 个 CVE 漏洞像蠕虫一样在云系统中传播
- 浏览次数 71
- 喜欢 0
网络安全研究人员披露了一个名为 PCPJack 的新型凭证窃取框架的细节,该框架瞄准暴露的云基础设施,并从相关环境中清除任何与 TeamPCP 相关的痕迹。
SentinelOne 安全研究员亚历克斯・德拉莫特(Alex Delamotte)在今日发布的一份报告中表示:“该工具集从云服务、容器、开发者工具、办公软件及金融服务中窃取凭证,然后通过攻击者控制的基础设施将数据泄露出去,同时试图传播到更多主机。”
PCPJack 专门针对 Docker、Kubernetes、Redis、MongoDB、RayML 等云服务以及存在漏洞的 Web 应用程序,使操作者能够像蠕虫一样传播,并在被攻陷的网络中横向移动。
据评估,这场云攻击活动的最终目标是,威胁行为者通过窃取凭证、实施欺诈、发送垃圾邮件、进行勒索或转售窃取的访问权限等方式获取非法收益。
值得注意的是,此次活动与去年年底声名大噪的威胁行为者 TeamPCP 在攻击目标上有显著重叠。TeamPCP 利用已知安全漏洞(如 React2Shell)和云服务配置错误,将端点纳入一个不断扩大的网络,以进行数据窃取和其他攻击后操作。
与此同时,与 TeamPCP 不同,PCPJack 没有加密货币挖矿组件。虽然尚不清楚为何未采用这种明显的盈利策略,但这两个组织之间的相似性表明,PCPJack 可能是 TeamPCP 前成员的手笔,此人熟悉该组织的作案手法。
攻击起点是一个引导 shell 脚本,用于准备环境(如配置有效载荷主机)、下载下一阶段工具,同时采取措施感染自身基础设施、终止并移除与 TeamPCP 相关的进程或痕迹、安装 Python、实现持久化、下载六个 Python 脚本、启动编排脚本,然后自行删除。
这六个 Python 有效载荷如下:
- worm.py(写入磁盘时名为 monitor.py):作为主编排器,启动专门构建的模块,进行本地凭证窃取,通过利用已知漏洞(CVE - 2025 - 55182、CVE - 2025 - 29927、CVE - 2026 - 1357、CVE - 2025 - 9501 和 CVE - 2025 - 48703)将工具集传播到其他主机,并使用 Telegram 进行命令与控制(C2)。
- parser.py(utils.py):处理凭证提取,对窃取的密钥和机密信息进行分类。
- lateral.py(_lat.py):辅助进行侦察、收集机密信息,并实现通过 SSH、Kubernetes、Docker、Redis、RayML 和 MongoDB 服务进行横向移动。
- crypto_util.py(_cu.py):在将凭证泄露到攻击者的 Telegram 频道之前对其进行加密。
- cloud_ranges.py(_cr.py):收集分配给亚马逊网络服务(AWS)、谷歌云、微软 Azure、Cloudflare、Cloudfront 和 Fastly 的 IP 地址范围,并每 24 小时刷新一次数据。
- cloud_scan.py(_csc.py):通过 Docker、Kubernetes、MongoDB、RayML 或 Redis 服务运行云端口扫描,以实现向外传播。
编排脚本的传播目标来自 parquet 文件,蠕虫会直接从 Common Crawl 获取这些文件。Common Crawl 是一个非营利组织,对网络进行爬取,并免费向公众提供其存档和数据集。
德拉莫特称:“在泄露系统信息和凭证时,PCPJack 操作者甚至会在发送给 C2 的‘PCP 已替换’字段中收集关于 TeamPCP 是否已从目标环境中被清除的成功指标。这意味着其直接针对该威胁行为者的活动,而不仅仅是单纯的机会主义云攻击。”
对威胁行为者基础设施的进一步分析发现了另一个 shell 脚本(“check.sh”),它可检测 CPU 架构并获取相应的 Sliver 二进制文件。它还会扫描实例元数据服务(IMDS)端点、Kubernetes 服务账户和 Docker 实例,查找与 Anthropic、Digital Ocean、Discord、谷歌 API、Grafana Cloud、HashiCorp Vault、1Password 和 OpenAI 相关的凭证,并将其传输到外部服务器。
SentinelOne 表示:“总体而言,这两个工具集开发得相当完善,表明开发者重视将代码构建为模块化框架,尽管在行为上存在一些冗余。此次活动没有(部署挖矿程序),并且特意移除了与 TeamPCP 相关的挖矿功能。尽管如此,该行为者在提取加密货币凭证方面有明确的目标范围。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文