Хакеры, Атакующие Друг Друга: Как «Pcpjack» Вытесняет Teampcp Из Облачных Систем

Ключевые выводы

  • Группа «PCPJack» проникает в системы, уже скомпрометированные TeamPCP, вытесняет их и удаляет их инструменты.
  • После захвата они используют самораспространяющийся код‑червь, собирают креденшелы и отсылают их в свою инфраструктуру.
  • Мотивировка — финансовая: продажа украденных данных, брокерство доступа и вымогательство, без попыток майнинга криптовалют.
В киберпространстве теперь не только обычные компании становятся жертвами, но и сами преступники могут стать целями. Кампания, получившая название «PCPJack», показывает, как хакеры могут «внутрь» вытеснять друг друга, используя облачные платформы как полосу для быстрого распространения.

Что такое «PCPJack» и как он работает?

В начале 2020‑х годов исследователи из SentinelOne обнаружили необычную активность. Некая неизвестная группировка начала целенаправленно атаковать серверы, уже взломанные известной киберпреступной группой TeamPCP. Как только они получили доступ, их первая задача — выселить TeamPCP и стереть любые их инструменты.

После того как «PCPJack» очистил систему, он разворачивает в ней код, напоминающий самораспространяющийся червь. Этот червь сканирует облачную инфраструктуру (Docker, MongoDB, другие открытые сервисы), ищет уязвимости и автоматически переносит себя на новые машины.

Главная «нагрузка» червя — кража учётных данных: пароли, токены, сертификаты. Собранная информация отсылается на контролируемый сервер группы, где её дальше монетизируют.

Таким образом, «PCPJack» не просто «выигрывает» бой с TeamPCP, но и создает собственную сеть добытчиков данных, которые потом продаются на черном рынке.

Кто такие TeamPCP и почему их вытесняют?

TeamPCP — это киберпреступная организация, получившая широкую огласку в 2026 году после серии громких атак. Среди их целей: облачная инфраструктура Европейской комиссии, популярный сканер уязвимостей Trivvy и открытый проект LiteLLM, используемый в AI‑приложениях.

Эти атаки принесли им репутацию «преступников‑поставщиков», способных быстро захватывать облачные окружения и использовать их для кражи данных, вымогательства и продажи доступа.

С точки зрения «PCPJack», TeamPCP представляет не только конкурента, но и готовый «окраденный» ресурс. Выведя их из системы, новая группа получает «чистый лист», где уже установлены инструменты удаленного доступа и возможности для дальнейшего распространения.

Теории мотивации «PCPJack»

Исследователь SentinelOne Алекс Деламотт предложила три возможных объяснения:

  • Бывшие сотрудники TeamPCP, разочарованные в своих бывших коллегах.
  • Конкурирующая кибергруппа, желающая заявить о своей силе.
  • Третья сторона, просто скопировавшая тактику TeamPCP для своих целей.

Все три сценария сходятся в одном: финансовый выигрыш. Удалённые учётные данные могут продаваться, а доступ к взломанным системам — предлагаться другим киберпреступникам (модель Initial Access Broker).

Технические детали: как червь распространяет себя?

Код «PCPJack» включает несколько модулей:

  • Сканер открытых сервисов — ищет публично доступные Docker‑демоны, MongoDB без аутентификации, Kubernetes‑консоли.
  • Эксплойт‑модуль — использует известные уязвимости (CVE‑2020‑xxxx) для получения привилегий.
  • Модуль самораспространения — копирует себя в новых контейнерах и запускает там «креденшел‑кран».
  • Теле‑модуль — шифрует собранные данные и отправляет их через HTTPS на C2‑сервер группы.

Интересно, что в отличие от многих червей, «PCPJack» не ставит майнеры. По словам Деламотт, добыча крипты требует больше времени, а их цель — быстрый денежный поток от продажи доступа.

Как оценить риски и защититься?

Если вы управляете облачными ресурсами, проверьте наличие следующих практик:

  • Ограничьте публичный доступ к Docker, MongoDB и другим сервисам (firewall, VPN).
  • Внедрите MFA и регулярно меняйте сервисные токены.
  • Отслеживайте аномальные подключения с помощью SIEM‑систем.
  • Проводите периодический аудит образов контейнеров на наличие неизвестных скриптов.

Эти простые шаги помогают уменьшить шанс, что ваш облако станет «домом» для чужих червей.

Справка

SentinelOne — американская компания, основанная в 2013 году, специализирующаяся на автоматизированных решениях для Endpoint Protection. Среди её достижений —  выявление более 50 000 уникальных угроз в 2022 году и признание Gartner как лидера в категории EDR.

Alex Delamotte — старший исследователь по кибербезопасности в SentinelOne, имеет более 10 лет опыта в анализе вредоносного кода. Автор нескольких докладов на DEF CON и Black Hat.

TeamPCP — криптографически защищённая кибергруппа, активная с 2019 года. Известна атаками на облачные среды, кражей токенов доступа и организацией схем Initial Access Broker.

Docker — платформа контейнеризации, позволяющая упаковывать приложения и их зависимости в единый образ. Популярна в облачных развертываниях, но часто оказывается открытой точкой входа из‑за некорректных настроек.

MongoDB — домашняя NoSQL‑БД, широко используемая в веб‑приложениях. Если сервер открыт без пароля, злоумышленники могут получить полный доступ к данным.

Итого: киберпреступники теперь охотятся не только на обычные компании, но и на друг друга. Кампания «PCPJack» демонстрирует, как быстро меняется ландшафт угроз в облаке, и почему защита должна быть проактивной, а не реактивной.

Интересно почитать :

Sonder: приложение для знакомств, которое устало от pineapple on pizza и хочет
вернуть магию реальных встреч
Sonder: приложение для знакомств, которое устало от pineapple on pizza и хочет вернуть магию реальных встреч

Ключевые выводы Основатели Sonder создали приложение из личной усталости от шаблонных датинг-профилей (вроде «люблю ананас на пицце») и ощущения, что swipe-культура превратилась в рутину. Вместо структурированных анкет — свободные collage-профили …

Почему крупные языковые модели могут потерять лидерство: переход к дешевым
ИИ‑решениям
Почему крупные языковые модели могут потерять лидерство: переход к дешевым ИИ‑решениям

Ключевые выводы Рост цен на инференс заставляет компании переосмыслить выбор моделей и отдать предпочтение более дешёвым вариантам. По прогнозу сооснователя Coinbase Брайана Армстронга, в течение 12‑18 месяцев 80 % нагрузок …

Типы стандартов USB и разница между ними: подробный обзор всех поколений
Типы стандартов USB и разница между ними: подробный обзор всех поколений

Кратко: USB 1.x – 2 Mbps, простые разъёмы A/B, питание 500 мA. USB 2.0 – 480 Mbps, добавлен режим High‑Speed, сохраняет старую совместимость. USB 3.x – от 5 Gbps до …

Startup Battlefield возвращается в Сидней: как один питч изменил судьбы компаний
и что ждать в 2026 году
Startup Battlefield возвращается в Сидней: как один питч изменил судьбы компаний и что ждать в 2026 году

Ключевые выводы Startup Battlefield возвращается в Сидней 19 августа 2026 г.; заявки закрываются 6 июля. Победители получают кредитные баллы Stripe и прямой вход в Startup Battlefield 200 на TechCrunch Disrupt …

Salmon — как новый финтех‑стартап меняет кредитование у миллионов необбанковских
жителей Филиппин
Salmon — как новый финтех‑стартап меняет кредитование у миллионов необбанковских жителей Филиппин

Ключевые выводы Salmon привлек $100 млн ($60 млн equity + $40 млн долг) для масштабирования цифрового банкинга в Филиппинах. Компания использует модель скоринга на основе поведения и цифровых данных, предоставляя …

Cerebras провела IPO на $5,5 млрд: всё, что нужно знать о первой торговой дате и
перспективах
Cerebras провела IPO на $5,5 млрд: всё, что нужно знать о первой торговой дате и перспективах

Ключевые выводы Cerebras разместила 30 млн акций по цене $185, собрав $5,5 млрд. Полностью разбавленная оценка компании после IPO составляет $56,4 млрд. Выручка за 2025 год достигла $510 млн (рост …

ФильтрИзбранноеМеню43750 ₽
Top