黑客攻击被其他黑客攻击的受害者

Source: TechCrunch

普通的互联网用户和企业并不是恶意黑客唯一的受害者。有时，黑客本身也会被黑（the hackers themselves get hacked）。

PCPJack 运动

一个未知的黑客组织针对已经被TeamPCP这一高产网络犯罪组织入侵的系统。入侵这些系统后，他们立即驱逐了 TeamPCP 的成员并删除了其工具，根据网络安全公司 SentinelOne 的最新报告。

随后，攻击者利用获得的访问权限部署代码，这些代码能够在不同的云基础设施之间自我复制，像蠕虫一样传播，窃取各种凭证，并将被盗数据发送回他们自己的基础设施。

报告称，黑客的工具会记录他们成功驱逐 TeamPCP 的受害目标数量，并将这些信息发送回他们的服务器。

关于 TeamPCP 的背景

TeamPCP 是一个网络犯罪组织，近期因一系列高调攻击而登上头条，包括：

• 对欧盟委员会云基础设施的泄露 – TechCrunch
• 对广泛使用的漏洞扫描工具 Trivy 的大规模网络攻击，影响了所有依赖该工具的公司，包括 LiteLLM 和 AI 招聘初创公司 Mercor – Ars Technica，TechCrunch

谁在背后推动 PCPJack？

SentinelOne 的高级研究员 Alex Delamotte 发现了这场运动并将其命名为 “PCPJack”，她对 TechCrunch 表示，肇事者身份未知。她列出了三种可能的动机：

1. 不满的前 TeamPCP 成员
2. 竞争对手黑客组织
3. 故意模仿 TeamPCP 早期云基础设施行动的第三方

“PCPJack 针对的服务与 TeamPCP 在去年十二月至一月的行动非常相似，在二月至三月据称出现的成员变动之前，”Delamotte 说。

该组织还会扫描互联网中暴露的服务，如 Docker 虚拟机平台、MongoDB 数据库等，尽管 SentinelOne 指出，其主要关注点仍是先前被 TeamPCP 入侵的系统。

动机与手段

• 经济利益：攻击者窃取凭证以变现——要么转卖数据，要么将对受侵系统的访问权出售给“初始访问经纪人”，或直接勒索受害者。
• 不进行加密货币挖矿：该组织不安装加密货币挖矿软件，可能是因为此策略需要更长时间才能产生收益。
• 针对密码管理器的钓鱼：部分攻击涉及看似在钓取密码管理器凭证的域名和伪造的帮助台网站。

这些手段表明这是一场纯粹以盈利为目的的行动，利用了原始 TeamPCP 入侵所制造的混乱。