كشف باحثو الأمن السيبراني عن إطار جديد لسرقة بيانات الاعتماد يُعرف باسم PCPJack، يستهدف البنى التحتية السحابية المكشوفة ويعمل على إزالة أي آثار مرتبطة بمجموعة TeamPCP من البيئات المصابة. هذا الإطار يركز على جمع بيانات الاعتماد من خدمات السحابة والحاويات والتطبيقات الإنتاجية والمالية، ثم يقوم بتهريبها عبر بنية تحت سيطرة المهاجمين، مع محاولة الانتشار إلى مضيفين إضافيين بأسلوب يشبه الديدان.
آلية الانتشار واستغلال الثغرات
يبدأ الهجوم عبر سكريبت تمهيدي يقوم بتهيئة البيئة، تنزيل الأدوات اللاحقة، إصابة البنية التحتية الخاصة بالمهاجم نفسه، إزالة العمليات المرتبطة بـ TeamPCP، وتثبيت بايثون. بعد ذلك يتم تنزيل ستة سكريبتات بلغة بايثون تشمل:
- worm.py (monitor.py): المنسق الرئيسي الذي ينفذ سرقة بيانات الاعتماد محليًا وينتشر عبر استغلال ثغرات مثل CVE-2025-55182، CVE-2025-29927، CVE-2026-1357، CVE-2025-9501، CVE-2025-48703، ويستخدم Telegram كخادم تحكم.
- parser.py (utils.py): لاستخراج المفاتيح والأسرار وتصنيفها.
- lateral.py (_lat.py): للاستطلاع والحركة الجانبية عبر SSH وKubernetes وDocker وRedis وRayML وMongoDB.
- crypto_util.py (_cu.py): لتشفير بيانات الاعتماد قبل تهريبها.
- cloud_ranges.py (_cr.py): لجمع نطاقات عناوين IP الخاصة بـ AWS وGoogle Cloud وAzure وCloudflare وCloudfront وFastly.
- cloud_scan.py (_csc.py): لفحص منافذ الخدمات السحابية ونشر العدوى خارجيًا.
يستمد المنسق أهداف الانتشار من ملفات parquet التي يتم سحبها مباشرة من مشروع Common Crawl.
العلاقة مع TeamPCP
ما يميز PCPJack أنه يتقاطع بشكل كبير مع أهداف TeamPCP، وهي مجموعة برزت أواخر العام الماضي باستغلال ثغرات معروفة مثل React2Shell وسوء إعدادات الخدمات السحابية. لكن PCPJack يختلف عنها في أنه لا يتضمن مكون التعدين للعملات الرقمية، وهو ما يثير احتمال أن يكون من تطوير عضو سابق في TeamPCP يعرف جيدًا أساليبها.
الأداة تجمع أيضًا مقاييس نجاح حول ما إذا تم “طرد” TeamPCP من البيئة المستهدفة، مما يشير إلى تركيز مباشر على منافسة أنشطة المجموعة أكثر من مجرد استغلال عشوائي للسحابة.
أدوات إضافية وأنشطة ما بعد الاستغلال
تم العثور على سكريبت آخر باسم check.sh يقوم بالكشف عن بنية المعالج وتحميل نسخة مناسبة من أداة Sliver، كما يفحص نقاط خدمة IMDS وحسابات Kubernetes وحاويات Docker بحثًا عن بيانات اعتماد مرتبطة بخدمات مثل Anthropic، Digital Ocean، Discord، Google API، Grafana Cloud، HashiCorp Vault، OnePassword، OpenAI، ثم يرسلها إلى خادم خارجي.
هذا يعكس أن المهاجمين يستهدفون نطاقًا واسعًا من الخدمات السحابية والتطبيقات الإنتاجية، مع تركيز خاص على بيانات الاعتماد التي يمكن أن تُستغل في أنشطة احتيال أو ابتزاز أو إعادة بيع وصول غير مشروع.
دلالات استراتيجية على أمن السحابة
يشير تحليل الباحثين إلى أن PCPJack يمثل إطارًا برمجيًا متطورًا، مصممًا بشكل معياري يسمح بإعادة الاستخدام والتوسع، رغم وجود بعض التكرار في السلوكيات. إن غياب مكون التعدين لا يقلل من خطورته، بل يبرز أن الهدف الأساسي هو سرقة بيانات الاعتماد وتحقيق أرباح غير مشروعة عبر الاحتيال والابتزاز وإعادة بيع الوصول.
هذا الهجوم يوضح أن التهديدات السحابية لم تعد تقتصر على التعدين أو إساءة استخدام الموارد، بل أصبحت تركز على السيطرة الكاملة على بيانات الاعتماد والتنقل داخل الشبكات السحابية، مما يفرض على المؤسسات تعزيز مراقبة الخدمات السحابية، سد الثغرات المعروفة، وتطبيق سياسات وصول صارمة.
