駭客組織 TeamPCP 正大規模攻擊設定錯誤的雲端管理服務,將受害系統轉化為犯罪基礎設施。這波攻擊自去年 12 月底啟動,已入侵全球至少 6 萬台伺服器。
TeamPCP 採用類似蠕蟲的攻擊方式,每台被入侵的系統會自動掃描並感染下一個脆弱目標。資安公司 Flare 的研究員 Assaf Morag 指出,TeamPCP 的威脅並非來自新型漏洞或原創惡意程式,而是將已知攻擊技術進行大規模自動化。該組織也以 PCPcat 和 ShellForce 等別名運作。
攻擊目標與手法
TeamPCP 主要掃描暴露在外的 Docker API、Kubernetes 叢集、Redis 伺服器、Ray 儀表板,以及存在 React2Shell 漏洞(CVE-2025-29927)的系統。入侵後會部署惡意 Python 和 Shell 腳本,安裝代理伺服器、通道軟體,並建立即使重開機也能持續運作的機制。
針對 Kubernetes 環境,攻擊者使用專門的 kube.py 腳本竊取憑證,並透過管理層級 API 將惡意容器推送到所有可存取的 Pod。這種做法能將初步入侵點擴大為整個叢集的控制權,實際上將整個叢集變成自我傳播的掃描網路。
根據資安業者分析,超過 60% 的攻擊案例針對 Azure 雲端基礎設施,37% 針對 AWS。TeamPCP 也積極攻擊 Google 和 Oracle 雲端環境中的伺服器。
多重獲利管道
TeamPCP 透過多種方式將入侵系統變現:用於挖礦(cryptomining)、賣給其他犯罪組織當代理伺服器、進行更多掃描和攻擊,以及架設勒索軟體的命令與控制基礎設施。
這種多重獲利策略確保每個被入侵的系統都能創造多種收入來源。正如研究人員所說:「每個受害系統都成為掃描器、代理伺服器、挖礦機、資料外洩節點,以及進一步攻擊的跳板。」Kubernetes 叢集不僅被入侵,更被轉換成分散式殭屍網路。
除了竊取運算資源,TeamPCP 也透過傳統的資料竊取和勒索獲利。研究人員發現該組織透過關聯組織 ShellForce 營運的資料外洩網站,發布竊取的身分記錄、企業資料和履歷資料庫。
竊取的文件包含完整姓名、身分證字號、住址、電話號碼、就業和企業記錄,以及詳細的求職資料。其中一起重大案例是越南招聘平台 JobsGO,TeamPCP 竊取了超過 200 萬筆求職者的詳細個人與專業資訊。
研究人員指出,這些資料雖然不像信用卡或銀行登入資訊那樣容易在地下市場變現,但對攻擊者進行網路釣魚(phishing)、身分冒用或帳號接管等攻擊很有用。大部分受害者位於南韓、加拿大、美國、塞爾維亞和阿拉伯聯合大公國。
舊技術的工業化應用
TeamPCP 的 Telegram 頻道約有 700 名成員,似乎於 11 月推出。該組織宣稱正在「重新包裝」業務,暗示可能先前已以其他名義運作。
最令人擔憂的是,TeamPCP 的技術其實並不特別。該組織並未自行撰寫惡意程式碼,而是使用複製、稍加修改或 AI 輔助的程式碼進行掃描和攻擊。他們利用的漏洞和雲端設定錯誤都有完整文件記錄,這意味著 TeamPCP 並非發明新攻擊方法,而是將已知技術工業化,並達到驚人的效果。
研究人員表示,
只要組織持續暴露編排 API、在 .env 檔案中洩漏密鑰,並在缺乏強大安全邊界的情況下部署雲端服務,像 TeamPCP 這樣的威脅者就會繼續將全球的運算資源變成他們的犯罪基礎設施。
防護建議
Flare 建議組織應重視雲端安全基礎,包括:
- 透過適當的身分驗證、網路區隔和最小權限存取政策來保護雲端控制平面
- 實施執行時期安全監控,偵測異常的容器部署、不尋常的網路連線,以及可能顯示入侵跡象的行為異常
本文轉載自 DarkReading。