MalwareCloud-SicherheitSchwachstellen

PCPJack: Neuer Cloud-Schädling stiehlt Zugangsdaten und verdrängt TeamPCP-Konkurrenz

Von CyberDeutsch Redaktion
PCPJack: Neuer Cloud-Schädling stiehlt Zugangsdaten und verdrängt TeamPCP-Konkurrenz
Zusammenfassung

Die Cybersicherheitslage in Cloud-Infrastrukturen verschärft sich durch das Auftreten einer neuen Malware namens PCPJack, die massiv Zugangsdaten stiehlt und dabei gezielt Spuren anderer Threat-Actor entfernt. Das von Sicherheitsforschern von SentinelLabs analysierte Schadprogramm zielt primär auf exponierte Cloud-Services wie Docker, Kubernetes, Redis und MongoDB ab und nutzt dabei bekannte Sicherheitslücken aus. Besonders bemerkenswert ist, dass PCPJack offenbar von einem früheren Mitglied oder Afiliaten der bekannten Bedrohungsgruppe TeamPCP entwickelt wurde, die in der Vergangenheit mit hochkarätigen Supply-Chain-Angriffen auf SAP, PyPI und andere kritische Infrastrukturen Schlagzeilen machte. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, da viele Organisationen Cloud-Services und offene Infrastrukturen nutzen, ohne diese ausreichend zu sichern. Die Malware verbreitet sich selbstständig, stiehlt sensible Daten wie SSH-Schlüssel, API-Token und Zugangsdaten und übermittelt diese verschlüsselt über Telegram-Kanäle. Besondere Vorsicht ist geboten, da PCPJack auch für laterale Bewegungen in Netzwerken optimiert ist und damit ein Einfallstor für weitreichende Kompromittierungen bietet.

PCPJack infiziert Linux-basierte Cloud-Systeme über ein Shell-Script namens bootstrap.sh. Nach der Ausführung erstellt die Malware ein verstecktes Arbeitsverzeichnis, installiert Python-Abhängigkeiten, lädt zusätzliche Module herunter und etabliert Persistenz durch den Hauptorchestrator monitor.py. Auffällig ist die aggressive Säuberungsaktion: PCPJack sucht explizit nach TeamPCP-Werkzeugen und löscht diese vollständig – einschließlich aller Prozesse, Services, Container, Dateien und Persistenz-Artefakte. Dies deute darauf hin, dass der Betreiber die Kompromittierung für sich beanspruchen will, erklären die SentinelLabs-Forscher.

Die Kernfunktion von PCPJack ist massiver Datendiebstahl. Das Framework zielt auf SSH-Schlüssel, Slack-Token, WordPress-Konfigurationen, OpenAI- und Anthropic-API-Keys sowie Anmeldedaten für Discord, DigitalOcean und andere Services ab. Die gestohlenen Credentials werden verschlüsselt über X25519 ECDH und ChaCha20-Poly1305 nach Telegram exfiltriert – clever in 2.800-Byte-Chunks aufgeteilt, um Telegrams Nachrichtenlimit einzuhalten.

Die Ausbreitungsmechanismen sind automatisiert und großflächig: PCPJack scannt externe Cloud-Infrastruktur nach exponierten Docker-, Kubernetes-, Redis-, MongoDB- und RayML-Services, versucht bekannte Schwachstellen auszunutzen und lädt Zieldaten sogar aus Common-Crawl-Parquet-Dateien herunter. Im Innern kompromittierter Systeme führt das Malware laterale Bewegungen durch, indem es SSH-Keys und Credentials erntet, Kubernetes-Cluster aufzählt und sich auf erreichbare interne Hosts repliziert. Zur Persistenz nutzt es Systemd-Services, Cron-Jobs, Redis-Rewrites oder privilegierte Container.

SentinelLabs fand auch einen Sliver-basierten Backdoor in der Infrastruktur des Angreifers – mit Varianten für x86_64, x86 und ARM. Dies unterstreicht die professionelle Qualität der Operation.

Zur Mitigation empfehlen die Forscher: Multi-Faktor-Authentifizierung (MFA) aktivieren, IMDSv2 in AWS nutzen, Docker und Kubernetes ordnungsgemäß schützen, Least-Privilege-Prinzipien befolgen und niemals Secrets im Klartext speichern. Besonders deutsche Unternehmen sollten ihre Cloud-Umgebungen regelmäßig auf exponierte Services überprüfen und die Empfehlungen des BSI zur Cloud-Sicherheit befolgen.

Ähnliche Artikel