Sâu máy tính PCPJack "dọn dẹp" malware đối thủ để chiếm đoạt quyền kiểm soát

Một loại sâu máy tính mới có tên PCPJack đang loại bỏ các dấu nhiễm của nhóm TeamPCP trên các máy chủ đám mây. Tuy nhiên, mục đích của nó không phải tốt đẹp mà là để đánh cắp thông tin xác thực và thay thế vị trí của đối thủ.

Sâu máy tính PCPJack "dọn dẹp" malware đối thủ để chiếm đoạt quyền kiểm soát Một loại sâu máy tính mới có tên PCPJack đang loại bỏ các dấu nhiễm của nhóm TeamPCP trên các máy chủ đám mây. Tuy nhiên, mục đích của nó không phải tốt đẹp mà là để đánh cắp thông tin xác thực và thay thế vị trí của đối thủ.

Sâu máy tính mới nổi với mục đích đen tối

Một khuôn khổ sâu máy tính (worm) bí ẩn đang len lỏi qua các phiên bản đám mây bị lộ, xóa sạch mọi dấu vết của nhiễm TeamPCP. Tuy nhiên, đây không phải là hành động thiện chí: Kẻ đứng sau loại malware này chỉ đang dọn dẹp người đi trước để chiếm lấy vị trí của họ.

Được các nhà nghiên cứu tại SentinelLabs (thuộc SentinelOne) phát hiện và đặt tên là PCPJack do thói quen chiếm đoạt hệ thống đã bị TeamPCP xâm nhập, loại sâu này lần đầu tiên được phát hiện vào cuối tháng 4. SentinelLabs nhận thấy nó nổi bật so với các công cụ hack đám mây đã biết vì hành động đầu tiên luôn là loại bỏ các công cụ liên quan đến cuộc tấn công của TeamPCP.

Tuy nhiên, kịch bản này không dừng lại ở đó.

Không phải là "chiến binh trắng"

SentinelLabs cho biết: "Ban đầu chúng tôi cho rằng bộ công cụ này có thể thuộc về một nhà nghiên cứu đang loại bỏ nhiễm TeamPCP. Tuy nhiên, phân tích các payload ở giai đoạn sau cho thấy điều ngược lại."

"Phân tích kịch bản này đã dẫn chúng tôi phát hiện ra một khuôn khổ hoàn chỉnh dành cho việc thu thập thông tin xác thực đám mây và lan truyền sang các hệ thống khác, cả bên trong và bên ngoài môi trường của nạn nhân," SentinelLabs tiếp tục. Nói cách khác, nó sẽ thu thập thông tin đăng nhập từ mọi nơi có thể, sau đó tìm kiếm các môi trường đám mây không được bảo vệ mới để lây lan.

TeamPCP xuất hiện vào cuối năm ngoái và nổi tiếng chủ yếu nhờ xâm nhập thành công trình quét lỗ hổng Trivy. Hành động này đã lan truyền malware thu thập thông tin xác thực, mà kẻ tấn công sau đó sử dụng để chuyển hướng sang các mục tiêu giá trị hơn, trở thành một trong những cuộc tấn công chuỗi cung ứng phần mềm đáng chú ý nhất trong thời gian gần đây.

Khác với chiến dịch của TeamPCP dựa vào sự lan truyền của phần mềm bị xâm phạm bởi con người, chiến dịch này tự lan truyền.

Cơ chế lây nhiễm và đánh cắp dữ liệu

Quá trình nhiễm bắt đầu khi các hệ thống đã bị nhiễm tìm kiếm các dịch vụ bị lộ, bao gồm Docker, Kubernetes, Redis, MongoDB và RayML, cũng như các ứng dụng web bị lộ. Khi tìm thấy môi trường dễ bị tổn thương, nó chạy một shell script thiết lập môi trường để tải xuống các payload bổ sung và tìm kiếm quy trình cũng như các tệp tin của TeamPCP để tiêu diệt.

Phần nhiễm này tải xuống chính con sâu, cùng với các mô-đun cho phép di chuyển ngang (lateral movement), phân tích thông tin xác thực, mã hóa chúng để exfiltrate (tải ra ngoài), và quét web để tìm môi trường mới để nhiễm.

Từ đó, con sâu hoạt động với mô-đun thứ hai thực hiện hành vi trộm cắp thông tin xác thực. Phần này nhắm vào các biến môi trường, tệp cấu hình, khóa SSH, bí mật Docker, token Kubernetes và thông tin xác thực từ danh sách các mục tiêu tài chính, doanh nghiệp, nhắn tin và dịch vụ đám mây dài đến mức bạn có thể giả định rằng bất cứ thứ gì bạn đang sử dụng đều có thể đang bị nhắm tới.

SentinelLabs lưu ý rằng việc thiếu một trình đào tiền ảo (cryptominer) trong gói malware là bất thường. Các dịch vụ cụ thể mà nó nhắm tới cho thấy mục tiêu của nó là thực hiện các chiến dịch spam và gian lận tài chính với dữ liệu bị đánh cắp, hoặc cung cấp dữ liệu cho những kẻ lên kế hoạch tội phạm tương tự.

Khuyến nghị bảo mật

Việc loại bỏ tệp TeamPCP có thể là cơ hội, hoặc có thể có sự "drama" đang diễn ra trong thế giới tội phạm mạng.

"Chúng tôi không có bằng chứng cho thấy liệu bộ công cụ này đại diện cho ai đó liên quan đến nhóm hay quen thuộc với hoạt động của họ," SentinelLabs lưu ý. "Tuy nhiên, việc tập trung vào việc vô hiệu hóa và thay thế dịch vụ của TeamPCP ngụ ý sự tập trung trực tiếp vào hoạt động của tác nhân đe dọa thay vì cơ hội tấn công đám mây thuần túy."

Vì đây là một con sâu dựa vào các phiên bản đám mây và ứng dụng web không được bảo vệ, các khuyến nghị giảm thiểu khá đơn giản: Hãy giữ cho nền tảng đám mây của bạn an toàn và đảm bảo yêu cầu xác thực ngay cả đối với các phiên bản của Docker và Kubernetes không được lộ ra internet.