PCPJack крадёт учётные данные через облачные сервисы
SentinelLABS выявила новый credential-stealing framework под названием PCPJack, предназначенный для проникновения в открытые cloud-инфраструктуры и последующего распространения внутри целевых сред. По данным исследователей, вредоносная активность строится вокруг кражи учетных данных из популярных сервисов и веб-приложений, а не вокруг классической схемы с криптомайнингом.
Что такое PCPJack
PCPJack ориентирован на сбор данных доступа из Docker, Kubernetes, Redis, MongoDB и других уязвимых web application. Такой подход позволяет злоумышленникам не только развивать external spread, но и выполнять lateral movement внутри корпоративной сети.
Отличительная особенность этого ВПО заключается в том, что оно не развертывает cryptominer. Вместо этого акцент сделан на монетизации украденных учетных данных через мошенничество, спам и вымогательство.
Как происходит заражение
Цепочка заражения начинается со shell script bootstrap.sh, который подготавливает среду в системах Linux. После этого скрипт загружает и запускает дополнительные Python loader’ы внутри virtual environment.
Один из ключевых компонентов, monitor.py, отвечает за контроль процесса сбора учетных данных и одновременно удаляет любые процессы, связанные с группировкой TeamPCP. Именно эта точечная ориентация на артефакты TeamPCP заставила исследователей предположить, что PCPJack может управляться оператором, хорошо знакомым с методологиями этой группы.
Какие данные собирает вредонос
PCPJack использует несколько техник для кражи учетных данных и секретов. В частности, он ищет:
- files конфигурации и secrets;
- данные, содержащиеся в environment variables;
- credentials службы метаданных экземпляров AWS IMDS;
- SSH private keys.
Такой набор источников делает PCPJack опасным как для облачных сред, так и для инфраструктур, где секреты хранятся с нарушениями базовых принципов безопасности.
Механизмы lateral movement
Модули перемещения внутри компании в PCPJack эксплуатируют конкретные уязвимости в программных компонентах, чтобы распространяться по сети жертвы. Среди используемых методов — обращения к services Kubernetes и взаимодействие с Docker API.
По наблюдениям исследователей, запросы к Kubernetes нередко приводят к эксфильтрации конфиденциальной информации даже в условиях современных security configurations. Это подчеркивает, что недостаточно полагаться только на стандартные меры защиты: при компрометации узла злоумышленник может получить доступ к критически важным данным через легитимные интерфейсы управления.
C2 через Telegram и шифрование
Связь PCPJack с инфраструктурой управления C2 реализована через Telegram. Вредонос отправляет собранные данные в выделенный канал и получает оттуда operational commands.
Для сокрытия трафика и защиты данных во время передачи framework использует продвинутые криптографические механизмы, включая ECDH для exchange key и ChaCha20-Poly1305 для encryption. Это усложняет обнаружение и анализ перехваченного трафика.
Вторичный инструментарий
Помимо основного набора средств, анализ выявил и secondary toolkit злоумышленников. В него входит shell script check.sh, который:
- собирает учетные данные из различных services;
- определяет архитектуру системы;
- подготавливает развертывание binary Sliver для beaconing.
Наличие такого инструментария указывает на modular design, обеспечивающий гибкость операций. В то же время исследователи отмечают и существенные промахи в operational security, включая использование незашифрованных учетных данных.
Вывод
PCPJack демонстрирует, как современные threat actors адаптируют свои инструменты под cloud-native environments, делая ставку на кражу учетных данных, скрытное распространение и последующую монетизацию доступа. Для компаний это еще одно напоминание о необходимости строгого контроля secrets, ограничения доступа к management interfaces и постоянного мониторинга активности в Docker, Kubernetes и связанных сервисах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
