PCPJackは、認証情報窃盗フレームワークです。
侵害先に入り込み、現地で認証情報を収集して持ち出します。
しかし、単に認証情報を持ち出すだけではありません。
観測されたいくつかの動きを見てみましょう。
- TeamPCPを駆除する
TeamPCPは、2026年初頭に複数の著名なサプライチェーン侵入事件を起こしたと主張する脅威アクターのペルソナです。
PCPJackは、自身の感染活動の中で、TeamPCPの実施した侵害の成果としての設置済みツールを検出し、それらをすべて削除しようとします。
TeamPCPのプロセス、サービス、コンテナ、ファイル、および永続化アーティファクトの削除が含まれ、PCPJackは、TeamPCPによる感染を完全に除去するのです。
PCPJackは、よいツールなのでしょうか。
そうではなさそうです。
他のアクターの活動は削除しますが、自分たちの窃盗活動は実施します。
侵害先を独り占めしようということでしょうか。 - 認証情報を取得する
PCPJackは、認証情報を取得します。
PCPJackは、Docker、Kubernetes、Redis、MongoDB、RayMLなどのソフトウェアの公開されたサービスをスキャンしてターゲットとして選択し、既知の脆弱性を悪用してアクセス権を取得します。
悪用する脆弱性は、CVE-2025-29927、CVE-2025-55182、CVE-2026-1357、CVE-2025-9501、CVE-2025-48703、といったものです。
アクセス権を取得すると、クラウド環境、開発者システム、メッセンジャーアプリ、金融サービス、データベース、SSHキー、Slackトークン、WordPress設定、OpenAIキー、Anthropicキー、Discord、DigitalOceanなどを標的として現地で情報を集めます。
集めた認証情報は束ねて暗号化し、Telegramチャンネルに送信する形式で持ち出します。 - 横展開する
PCPJackは、横展開します。
侵害された環境内でマルウェアはSSHキーと認証情報を収集し、KubernetesクラスタとDockerデーモンを列挙し、到達可能な内部ホスト上で自身を実行することで、横方向の移動を実行します。
アクセスが取得されると、伝播を続行する前に、systemdサービス、cronジョブ、Redis cronリライト、特権コンテナなどを使用して永続性を確立します。
脆弱性のほころびから侵害に至るのはいつもの話と同じです。
脆弱性対策をタイムリーに継続し、最小権限の原則を遵守し、機密情報を平文で保存しないようにし、被害にあう可能性を下げていきましょう。
PCPJack | Cloud Worm Evicts TeamPCP and Steals Credentials at Scale
https://www.sentinelone.com/labs/cloud-worm-evicts-teampcp-and-steals-credentials-at-scale/
| この記事をシェア |
|
|---|
