普通互联网用户和企业并不是恶意黑客的唯一受害者。有时,黑客自己也会遭到黑客攻击。 这就是在一次不寻常的黑客活动中发生的情况,一群未知的黑客瞄准了已经被名为 TeamPCP 的多产网络犯罪组织破坏的系统。根据网络安全公司 SentinelOne 的一份新报告,一旦黑客闯入这些系统,他们就会立即驱逐 TeamPCP 黑客并删除他们的工具。 从那里,黑客利用他们的访问权限部署旨在跨不同云基础设施复制的代码,就像自传播蠕虫一样,窃取各种类型的凭据,最后将窃取的数据发送回其基础设施。 TeamPCP 是一个网络犯罪组织,由于该组织实施了一系列备受瞩目的黑客攻击,因此在过去几周内成为了各大媒体的头条新闻。这些黑客攻击包括对欧盟委员会云基础设施的破坏,以及针对广泛使用的漏洞扫描工具 Trivvy 的大规模网络攻击,这影响了任何依赖该工具的公司,包括 LiteLLM 和人工智能招聘初创公司 Mercor 等。 SentinelOne 高级研究员 Alex Delamotte 发现了这一新的黑客活动,并将其称为“PCPJack”,他告诉 TechCrunch,目前尚不清楚幕后黑手是谁。在这一点上,德拉莫特表示,她的三个理论是,黑客要么是心怀不满的前 TeamPCP 成员;要么是心怀不满的前 TeamPCP 成员;属于竞争对手团体的一部分;或“选择直接在 TeamPCP 早期活动中模拟其攻击工具”的第三方,其中许多活动都针对云基础设施。 “PCPJack 所针对的服务与 12 月至 1 月的 TeamPCP 活动非常相似,在 2 月至 3 月发生所谓的组成员变更之前,”Delamotte 说。 Delamotte 还指出,黑客不仅针对受到 TeamPCP 危害的系统,还会扫描互联网以查找暴露的服务,例如虚拟机云平台 Docker、运行 MongoDB 的数据库等。但 SentinelOne 表示,该组织似乎主要针对 TeamPCP。 根据该报告,黑客自己的工具记录了被黑目标的数量,他们通过将这些信息发送回其基础设施来成功驱逐 TeamPCP。 PCPJack 黑客的目标似乎纯粹是财务目的,因为他们窃取凭据的目的是为了将其货币化。黑客通过转售这些设备,以所谓的初始访问经纪人的身份出售被黑系统的访问权限,即黑客闯入系统,然后让付费客户进入被黑机器,或者直接勒索受害者。 然而,根据德拉莫特的说法,黑客不会尝试安装软件来在被黑客入侵的系统上挖掘加密货币,这可能是因为这种策略需要更多的时间来获得回报。 德拉莫特表示,作为部分攻击的一部分,黑客使用的域名表明他们正在对密码管理器凭据进行网络钓鱼,并使用虚假的帮助台网站。