PCPJack захватил 230 облачных серверов для SMTP-ретрансляции

Злоумышленник PCPJack, специализирующийся на cloud attacks, был задокументирован в связи с захватом 230 servers в AWS, Google Cloud Platform (GCP) и Azure. По данным недавнего анализа SentinelOne, эта инфраструктура использовалась для создания скрытой сети SMTP relay, а первичный доступ, по всей видимости, получался через compromised Linux servers.

Исследователи отмечают, что выявленная схема указывает на высокую operational complexity и четко выстроенный набор tools. В exposed files, обнаруженных в public directories на отдельных ports, были найдены как source code, так и compiled binaries of malware, что говорит о продуманной и устойчивой инфраструктуре атаки.

How the attack chain works

Для развертывания злоумышленники используют Chisel — open-source TCP tunneling tool. Наличие трех различных Chisel binaries указывает на поддержку нескольких architectures и помогает выстраивать reverse proxy connection для evasion of detection. При этом binaries не были modified, что подчеркивает ставку атакующих на legitimate tools для маскировки своей активности.

В отчетe также говорится, что scripts демонстрируют хорошо структурированный pipeline, который автоматизирует развертывание C2 server Sliver и позволяет злоумышленникам поддерживать active connections с compromised beacons.

Persistence and control

Механизмы persistence и control реализованы через dual-install approach. ВПО может создавать либо systemd Service, либо cron task — в зависимости от того, получил ли malicious code root privileges.

Кроме того, payload напрямую обрабатывает любые найденные Chisel binaries, чтобы обеспечить continuous operation. Инфраструктура также включает health checks для определения статуса active beacons и постоянную проверку SMTP capabilities, что повышает эффективность mail relay network.

“Операционный подход кампании демонстрирует итеративную доработку методов развертывания, которая повысила надежность и масштабируемость, хотя и снизила точность таргетинга.”

Эволюция кампании

Отчет SentinelOne указывает, что кампания заметно эволюционировала. Изначально фильтрация по SMTP capabilities была более строгой, однако затем ее смягчили. Это позволило злоумышленникам шире разворачивать инфраструктуру на active Linux systems. Такая адаптация показывает, что операторы корректировали тактику по мере возникновения проблем в ранних итерациях.

Профиль целей

Victimology analysis выявляет устойчивый target profile:

• преимущественно cloud Linux servers;
• системы, на которых работают web applications;
• связи с TeamPCP — ранее отмеченным actor, использующим схожие exploitation techniques.

Географический охват атак широк: затронутые servers расположены на разных континентах. Это указывает на low-specificity, но opportunistic подход к операциям, при котором цели выбираются не по одной стране или региону, а по доступности и уязвимости инфраструктуры.

IOC и риски для cloud-сред

Отдельное внимание в отчете уделяется connection to infrastructure such as 213.136.80.73, которое приписывается C2 architecture PCPJack. Этот индикатор дополнительно подтверждает связь между различными tools и platforms, применяемыми в кампании.

Авторы анализа предупреждают, что данные операции несут существенные риски для organizations, использующих cloud services, особенно для сред, где web applications размещены на Linux servers. По мере развития кампании критически важно отслеживать выявленные indicators of compromise (IOCs), чтобы предотвратить potential breaches.

Вывод: PCPJack демонстрирует не просто серию разрозненных компрометаций, а зрелую и адаптивную malicious infrastructure, построенную вокруг stealth, automation и reuse of legitimate tools.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.