黑客攻击已遭其他黑客入侵的受害者系统

据网络安全公司SentinelOne的最新报告，一个身份不明的黑客组织正针对已被知名网络犯罪集团TeamPCP入侵的系统发起攻击。该组织在成功入侵后，会立即驱逐TeamPCP并移除其在受害者系统中的黑客工具，此活动被SentinelOne高级研究员Alex Delamotte命名为“PCPJack”。报告显示，PCPJack黑客利用获取的访问权限部署代码，该代码能像自传播蠕虫一样在不同云基础设施中复制，窃取各类凭证并将数据发送回自身服务器。TeamPCP近期因多起高调黑客事件引发关注，包括入侵欧盟委员会云基础设施、对广泛使用的漏洞扫描工具Trivvy发起大规模网络攻击，影响了LiteLLM和AI招聘初创公司Mercor等依赖该工具的企业。Delamotte提出三种关于PCPJack幕后黑手的推测：可能是心怀不满的前TeamPCP成员、竞争对手组织，或是直接模仿TeamPCP早期云基础设施攻击工具的第三方。她指出，PCPJack攻击的服务与TeamPCP去年12月至今年1月的活动高度相似，早于该集团2 - 3月据称的成员变动。尽管PCPJack也会扫描互联网上暴露的服务（如Docker虚拟机云平台、MongoDB数据库等），但SentinelOne称其主要目标仍是TeamPCP。该黑客组织的工具会统计成功驱逐TeamPCP的受攻击目标数量，并将此信息发回自身服务器。其目标似乎纯粹出于经济目的，通过转售窃取的凭证、作为“初始访问中介”出售被入侵系统的访问权或直接勒索受害者来获利。Delamotte表示，PCPJack黑客未尝试在被入侵系统上安装加密货币挖矿软件，可能是因为该策略需要更长时间才能获得回报。此外，在部分攻击中，他们使用暗示用于钓鱼密码管理器凭证的域名及伪造的帮助台网站。