Hacker tấn công hacker: Nhóm lạ mặt chiếm đoạt hệ thống của TeamPCP

Người dùng internet và các tập đoàn không phải là nạn nhân duy nhất của các tin tặc độc hại. Đôi khi, chính những kẻ tấn công cũng trở thành mục tiêu bị hack.

Đó chính là tình huống đang diễn ra trong một chiến dịch tấn công bất thường, nơi một nhóm hacker chưa xác định nhắm vào các hệ thống đã bị xâm nhập trước đó bởi một nhóm tội phạm mạng nổi tiếng là TeamPCP. Theo một báo cáo mới từ công ty an ninh mạng SentinelOne, sau khi đột nhập được vào những hệ thống này, các hacker lập tức đuổi TeamPCP ra ngoài và gỡ bỏ các công cụ tấn công của nhóm này.

Từ đó, nhóm hacker mới sử dụng quyền truy cập để triển khai mã được thiết kế để tự nhân bản trên các hạ tầng đám mây khác nhau giống như một sâu máy tính (worm), đánh cắp nhiều loại thông tin xác thực (credentials), và cuối cùng gửi dữ liệu bị đánh cắp về hạ tầng của chính họ.

TeamPCP là một nhóm tội phạm mạng đã chiếm được các tiêu báo trong vài tuần qua nhờ một loạt vụ tấn công mạng quy mô lớn được quy cho nhóm này. Các vụ hack đó bao gồm việc xâm nhập hạ tầng đám mây của Ủy ban Châu Âu và một cuộc tấn công mạng quy mô rộng nhắm vào công cụ quét lỗ hổng phổ biến Trivy, ảnh hưởng đến bất kỳ công ty nào dựa vào nó, bao gồm LiteLLM và startup tuyển dụng AI Mercor.

Alex Delamotte, nhà nghiên cứu cấp cao của SentinelOne, người đã phát hiện ra chiến dịch tấn công mới này và đặt tên là "PCPJack", cho biết chưa rõ ai đứng sau nó. Lúc này, Delamotte cho biết bà có ba giả thuyết: những hacker này có thể là các cựu thành viên bất mãn của TeamPCP, là một phần của nhóm đối thủ, hoặc là bên thứ ba "đã chọn trực tiếp mô phỏng công cụ tấn công của họ dựa trên các chiến dịch trước đây của TeamPCP", nhiều trong số đó nhắm vào hạ tầng đám mây.

"Các dịch vụ bị PCPJack nhắm đến rất giống với các chiến dịch TeamPCP vào tháng 12 - tháng 1, trước khi sự thay đổi thành viên được cho là đã xảy ra trong nhóm vào tháng 2 - tháng 3", Delamotte nói.

Delamotte cũng lưu ý rằng những hacker này không chỉ nhắm vào các hệ thống bị TeamPCP xâm nhập, mà họ còn quét internet để tìm các dịch vụ bị lộ như nền tảng đám mây máy ảo Docker, cơ sở dữ liệu chạy MongoDB và các dịch vụ khác. Tuy nhiên, SentinelOne cho biết nhóm này dường như tập trung chủ yếu vào việc nhắm vào TeamPCP.

Theo báo cáo, các công cụ của chính những kẻ tấn công này giữ một bảng thống kê số lượng mục tiêu bị hack mà họ đã thành công trong việc đuổi TeamPCP ra ngoài bằng cách gửi thông tin này trở lại hạ tầng của chúng.

Mục tiêu của những hacker PCPJack dường như hoàn toàn vì tài chính, vì họ đánh cắp thông tin xác thực với trọng tâm là kiếm tiền từ chúng. Những hacker này thực hiện việc này bằng cách bán lại chúng, bán quyền truy cập vào các hệ thống bị hack dưới dạng những "môi giới quyền truy cập ban đầu" (initial access brokers) — những kẻ đột nhập vào hệ thống và sau đó cho phép khách hàng trả tiền vào máy bị hack — hoặc bằng cách tống tiền trực tiếp nạn nhân.

Tuy nhiên, những hacker này không cố gắng cài đặt phần mềm để đào tiền ảo (crypto mining) trên các hệ thống bị hack, có lẽ vì chiến lược này cần nhiều thời gian hơn để thu hoạch lợi nhuận, theo Delamotte.

Trong một số cuộc tấn công của mình, những hacker này đang sử dụng các tên miền gợi ý rằng họ đang lừa đảo (phishing) để lấy thông tin đăng nhập của trình quản lý mật khẩu và sử dụng các trang web bàn trợ giúp giả mạo, Delamotte cho biết.