MalwareCloud-SicherheitSchwachstellen

PCPJack: Neue Credential-Stealer-Malware nutzt fünf CVEs zum Angriff auf Cloud-Infrastrukturen

Von CyberDeutsch Redaktion
PCPJack: Neue Credential-Stealer-Malware nutzt fünf CVEs zum Angriff auf Cloud-Infrastrukturen
Zusammenfassung

Die Cybersicherheitscommunity hat eine neue Bedrohung identifiziert: PCPJack, ein Credential-Stealer-Framework, das gezielt auf exponierte Cloud-Infrastrukturen abzielt und sich wurmartig über Systeme ausbreitet. Die Malware nutzt mindestens fünf bekannte Sicherheitslücken aus, um in Cloud-Dienste wie Docker, Kubernetes, MongoDB und Redis einzudringen. PCPJack harvesetet Anmeldedaten aus Cloud-, Container- und Entwickler-Umgebungen sowie aus Finanzdienstleistungen und exfiltriert diese über kontrollierte Server der Angreifer. Besonders bemerkenswert ist die enge Verbindung zur Threat-Actor-Gruppe TeamPCP, da PCPJack möglicherweise von einem früheren Mitglied dieser Gruppe stammt. Der Worm entfernt gezielt alle Spuren von TeamPCP aus kompromittierten Systemen und ersetzt deren Aktivitäten. Während TeamPCP primär Kryptomining betreibt, konzentriert sich PCPJack auf Credential-Diebstahl und laterale Bewegungen innerhalb von Netzwerken. Deutsche Unternehmen und Behörden mit Cloud-Infrastrukturen sind erheblich gefährdet, da die Angreifer gezielt auf weit verbreitete Plattformen abzielen und automatisiert nach neuen Zielen fahnden. Eine schnelle Sicherheitsüberprüfung exponierter Cloud-Services ist dringend empfohlen.

Die neu entdeckte Malware PCPJack stellt eine erhebliche Bedrohung für Cloud-Umgebungen dar. Sie wurde von Sicherheitsforschern von SentinelOne analysiert und offenbart ein ausgefeiltes Schadprogramm-Framework, das speziell für Credential-Diebstahl in modernen IT-Infrastrukturen konzipiert ist.

Die Attacke beginnt mit einem Shell-Script, das die Zielumgebung präpariert, Payload-Host konfiguriert und nachgelagerte Tools herunterlädt. Während des Installations-Prozesses entfernt PCPJack aktiv alle Spuren der konkurrierenden Threat-Actor-Gruppe TeamPCP aus der Zielumgebung – ein ungewöhnliches Verhalten, das auf einen gezielten Kampf um Kontrolle über kompromittierte Systeme hindeutet. Das Schadprogramm nutzt anschließend sechs Python-Skripte für Datenraub und laterale Bewegungen innerhalb der Netzwerke.

Besonders bemerkenswert ist die Propagationsstrategie: PCPJack bezieht seine Ausbreitungsziele aus Parquet-Dateien von Common Crawl, einer gemeinnützigen Web-Crawling-Infrastruktur. Dies ermöglicht dem Angreifer, automatisiert verwundbare Systeme im Internet zu identifizieren und zu infizieren – wurmähnliche Funktionalität in modernem Gewand.

Bei der Datenexfiltration versendet PCPJack detaillierte Telemetrie, einschließlich Metriken darüber, ob TeamPCP erfolgreich verdrängt wurde (gekennzeichnet als “PCP replaced”). Dies zeigt nicht bloße Opportunität, sondern eine strategische Ausrichtung gegen konkurrenzfähige Bedrohungsakteure.

Weitere Analyse offenbarte ein zusätzliches Script (“check.sh”), das CPU-Architektur erkennt und entsprechende Sliver-Binaries herunterlädt. Besonders kritisch: Das Tool scannt gezielt Kubernetes-Service-Accounts, Docker-Instanzen und AWS IMDS-Endpoints auf Anmeldedaten für Anthropic, Digital Ocean, Discord, Google APIs, Grafana Cloud, HashiCorp Vault, 1Password und OpenAI.

Die Ähnlichkeit zu TeamPCP ist offensichtlich, aber PCPJack verzichtet bewusst auf Kryptomining-Funktionen – wahrscheinlich, um sich durch ein pures Datendiebstahl-Modell zu differenzieren. Dennoch sammelt der Angreifer gezielt Cryptocurrency-Anmeldedaten, offenbar für späteren Missbrauch.

Für deutsche Organisationen ergibt sich eine doppelte Bedrohung: Einerseits die technische Kompromittierung von Cloud-Systemen, andererseits die DSGVO-Compliance-Konsequenzen bei Datenverlust. Das BSI und der Bundesbeauftragte für Datenschutz sollten Unternehmen zur sofortigen Überprüfung ihrer Cloud-Konfigurationen anweisen.

Ähnliche Artikel