Дослідники компанії SentinelOne оприлюднили деталі нового фреймворку для крадіжки облікових даних під назвою PCPJack. Він спрямований проти хмарних сервісів і корпоративної інфраструктури. Незвичайна особливість PCPJack полягає в тому, що невідоме угрупування цілеспрямовано атакує системи, вже скомпрометовані кіберзлочинною групою TeamPCP. Потрапивши до таких систем, нові зловмисники відразу виганяють TeamPCP, видаляють їхні інструменти, а потім розгортають код, який поширюється по хмарній інфраструктурі на кшталт хробака – для крадіжки облікових даних та передачі викраденого на власні сервери. Набір інструментів PCPJack збирає облікові дані з хмарних служб, контейнерних платформ, баз даних, інструментів розробника та фінансових сервісів, а потім передає їх через підконтрольну зловмисникам інфраструктуру з метою поширення на інші вузли мережі.

Алекс Делямот — старший дослідник SentinelOne, яка виявила кампанію і назвала її PCPJack – повідомила TechCrunch, що особистість виконавців залишається невідомою. Серед можливих версій: незадоволені колишні члени TeamPCP, конкуруюче угрупування або третя сторона, яка просто скопіювала інструментарій попередньої групи. PCPJack сканує інтернет у пошуку вразливих відкритих сервісів — Docker API, MongoDB, Kubernetes та вразливих React/Next.js-застосунків. Мета атак суто фінансова: перепродаж облікових даних, надання платного доступу до скомпрометованих систем або прямий шантаж жертв. Зловмисники також використовують фішингові сайти, що імітують менеджери паролів та підтримку технічних служб.