Хакеры, Атакующие Друг Друга: Как «Pcpjack» Вытесняет Teampcp Из Облачных Систем

Ключевые выводы

• Группа «PCPJack» проникает в системы, уже скомпрометированные TeamPCP, вытесняет их и удаляет их инструменты.
• После захвата они используют самораспространяющийся код‑червь, собирают креденшелы и отсылают их в свою инфраструктуру.
• Мотивировка — финансовая: продажа украденных данных, брокерство доступа и вымогательство, без попыток майнинга криптовалют.

В киберпространстве теперь не только обычные компании становятся жертвами, но и сами преступники могут стать целями. Кампания, получившая название «PCPJack», показывает, как хакеры могут «внутрь» вытеснять друг друга, используя облачные платформы как полосу для быстрого распространения.

Что такое «PCPJack» и как он работает?

В начале 2020‑х годов исследователи из SentinelOne обнаружили необычную активность. Некая неизвестная группировка начала целенаправленно атаковать серверы, уже взломанные известной киберпреступной группой TeamPCP. Как только они получили доступ, их первая задача — выселить TeamPCP и стереть любые их инструменты.

После того как «PCPJack» очистил систему, он разворачивает в ней код, напоминающий самораспространяющийся червь. Этот червь сканирует облачную инфраструктуру (Docker, MongoDB, другие открытые сервисы), ищет уязвимости и автоматически переносит себя на новые машины.

Главная «нагрузка» червя — кража учётных данных: пароли, токены, сертификаты. Собранная информация отсылается на контролируемый сервер группы, где её дальше монетизируют.

Таким образом, «PCPJack» не просто «выигрывает» бой с TeamPCP, но и создает собственную сеть добытчиков данных, которые потом продаются на черном рынке.

Кто такие TeamPCP и почему их вытесняют?

TeamPCP — это киберпреступная организация, получившая широкую огласку в 2026 году после серии громких атак. Среди их целей: облачная инфраструктура Европейской комиссии, популярный сканер уязвимостей Trivvy и открытый проект LiteLLM, используемый в AI‑приложениях.

Эти атаки принесли им репутацию «преступников‑поставщиков», способных быстро захватывать облачные окружения и использовать их для кражи данных, вымогательства и продажи доступа.

С точки зрения «PCPJack», TeamPCP представляет не только конкурента, но и готовый «окраденный» ресурс. Выведя их из системы, новая группа получает «чистый лист», где уже установлены инструменты удаленного доступа и возможности для дальнейшего распространения.

Теории мотивации «PCPJack»

Исследователь SentinelOne Алекс Деламотт предложила три возможных объяснения:

• Бывшие сотрудники TeamPCP, разочарованные в своих бывших коллегах.
• Конкурирующая кибергруппа, желающая заявить о своей силе.
• Третья сторона, просто скопировавшая тактику TeamPCP для своих целей.

Все три сценария сходятся в одном: финансовый выигрыш. Удалённые учётные данные могут продаваться, а доступ к взломанным системам — предлагаться другим киберпреступникам (модель Initial Access Broker).

Технические детали: как червь распространяет себя?

Код «PCPJack» включает несколько модулей:

• Сканер открытых сервисов — ищет публично доступные Docker‑демоны, MongoDB без аутентификации, Kubernetes‑консоли.
• Эксплойт‑модуль — использует известные уязвимости (CVE‑2020‑xxxx) для получения привилегий.
• Модуль самораспространения — копирует себя в новых контейнерах и запускает там «креденшел‑кран».
• Теле‑модуль — шифрует собранные данные и отправляет их через HTTPS на C2‑сервер группы.

Интересно, что в отличие от многих червей, «PCPJack» не ставит майнеры. По словам Деламотт, добыча крипты требует больше времени, а их цель — быстрый денежный поток от продажи доступа.

Как оценить риски и защититься?

Если вы управляете облачными ресурсами, проверьте наличие следующих практик:

• Ограничьте публичный доступ к Docker, MongoDB и другим сервисам (firewall, VPN).
• Внедрите MFA и регулярно меняйте сервисные токены.
• Отслеживайте аномальные подключения с помощью SIEM‑систем.
• Проводите периодический аудит образов контейнеров на наличие неизвестных скриптов.

Эти простые шаги помогают уменьшить шанс, что ваш облако станет «домом» для чужих червей.

Справка

SentinelOne — американская компания, основанная в 2013 году, специализирующаяся на автоматизированных решениях для Endpoint Protection. Среди её достижений —  выявление более 50 000 уникальных угроз в 2022 году и признание Gartner как лидера в категории EDR.

Alex Delamotte — старший исследователь по кибербезопасности в SentinelOne, имеет более 10 лет опыта в анализе вредоносного кода. Автор нескольких докладов на DEF CON и Black Hat.

TeamPCP — криптографически защищённая кибергруппа, активная с 2019 года. Известна атаками на облачные среды, кражей токенов доступа и организацией схем Initial Access Broker.

Docker — платформа контейнеризации, позволяющая упаковывать приложения и их зависимости в единый образ. Популярна в облачных развертываниях, но часто оказывается открытой точкой входа из‑за некорректных настроек.

MongoDB — домашняя NoSQL‑БД, широко используемая в веб‑приложениях. Если сервер открыт без пароля, злоумышленники могут получить полный доступ к данным.

Итого: киберпреступники теперь охотятся не только на обычные компании, но и на друг друга. Кампания «PCPJack» демонстрирует, как быстро меняется ландшафт угроз в облаке, и почему защита должна быть проактивной, а не реактивной.