Neues Credential-Stealer-Framework PCPJack greift Cloud-Systeme an und verdrängt TeamPCP

Zusammenfassung

Sicherheitsforscher haben ein neues Framework zum Diebstahl von Zugangsdaten beschrieben, das auf den Namen PCPJack getauft wurde und auf exponierte Cloud-Infrastruktur abzielt. Laut einem Bericht des SentinelOne-Forschers Alex Delamotte sammelt das Werkzeug Anmeldedaten aus Cloud-, Container-, Entwickler-, Produktivitäts- und Finanzdiensten, schleust sie über eine von den Angreifern kontrollierte Infrastruktur aus und versucht zugleich, sich auf weitere Hosts auszubreiten. PCPJack ist gezielt auf Cloud-Dienste wie Docker, Kubernetes, Redis, MongoDB und RayML sowie auf verwundbare Webanwendungen ausgerichtet. Dadurch können die Betreiber sich wurmartig verbreiten und sich seitlich innerhalb kompromittierter Netzwerke bewegen. Als mutmaßliches Endziel der Kampagne gilt, den Tätern unrechtmäßige Einnahmen zu verschaffen – durch Diebstahl von Zugangsdaten, Betrug, Spam, Erpressung oder den Weiterverkauf gestohlener Zugänge. Bemerkenswert ist die Aktivität vor allem wegen ihrer deutlichen Überschneidungen mit TeamPCP, einem Akteur, der durch das Ausnutzen bekannter Schwachstellen wie React2Shell und von Fehlkonfigurationen in Cloud-Diensten bekannt wurde. PCPJack entfernt dabei gezielt sämtliche Artefakte, die mit TeamPCP in Verbindung stehen, aus den betroffenen Umgebungen.

Anders als TeamPCP verzichtet PCPJack auf eine Komponente zum Schürfen von Kryptowährungen. Warum diese naheliegende Monetarisierung fehlt, ist unklar. Die Ähnlichkeiten zwischen beiden Aktivitätsclustern legen jedoch nahe, dass PCPJack das Werk eines früheren TeamPCP-Mitglieds sein könnte, das mit den Methoden der Gruppe vertraut ist.

Ausgangspunkt des Angriffs ist ein Bootstrap-Shell-Skript, das die Umgebung vorbereitet – etwa indem es den Payload-Host konfiguriert – und Werkzeuge der nächsten Stufe herunterlädt. Parallel infiziert es die eigene Infrastruktur, beendet und entfernt Prozesse oder Artefakte mit Bezug zu TeamPCP, installiert Python, richtet Persistenz ein, lädt sechs Python-Skripte herunter, startet das Orchestrierungsskript und löscht sich anschließend selbst.

Die Ziele für die Verbreitung bezieht das Orchestrierungsskript aus Parquet-Dateien, die der Wurm direkt von Common Crawl abruft – einer gemeinnützigen Organisation, die das Web durchsucht und ihre Archive und Datensätze ohne zusätzliche Kosten öffentlich bereitstellt.

Wie eng der Akteur auf TeamPCP fixiert ist, zeigt ein Detail bei der Datenausschleusung: Laut Delamotte erfasst der Betreiber von PCPJack sogar Erfolgskennzahlen darüber, ob TeamPCP aus den angegriffenen Umgebungen verdrängt wurde, und übermittelt diese in einem Feld namens „PCP replaced" an den Command-and-Control-Server. Das deute auf eine direkte Ausrichtung auf die Aktivitäten des konkurrierenden Akteurs hin und nicht auf reinen Opportunismus bei Cloud-Angriffen.

Eine weitere Analyse der Infrastruktur förderte ein zusätzliches Shell-Skript namens „check.sh" zutage. Es erkennt die CPU-Architektur und lädt die passende Sliver-Binärdatei. Außerdem durchsucht es die Endpunkte des Instance Metadata Service (IMDS), Kubernetes-Service-Accounts und Docker-Instanzen nach Zugangsdaten für Anthropic, Digital Ocean, Discord, Google API, Grafana Cloud, HashiCorp Vault, OnePassword und OpenAI und überträgt diese an einen externen Server.

Insgesamt seien beide Werkzeugsätze gut entwickelt und zeigten, dass der Urheber Wert auf ein modulares Framework lege, trotz mancher Redundanzen im Verhalten, so SentinelOne. Diese Kampagne setze keine Miner ein und entferne gezielt die mit TeamPCP verbundenen Miner-Funktionen. Dennoch verfüge der Akteur über klar definierte Routinen, um Zugangsdaten für Kryptowährungen abzugreifen.

Neues Credential-Stealer-Framework PCPJack greift Cloud-Systeme an und verdrängt TeamPCP

Ähnliche Artikel

Neueste Artikel