黑客攻击已被其他黑客入侵的系统,新型网络攻击活动现身
网络安全公司SentinelOne发布报告称,一个未知黑客组织发起代号为“PCPJack”的攻击活动,专门针对已被知名网络犯罪团伙TeamPCP入侵的系统。该组织一旦入侵成功,立即清除TeamPCP的工具并驱逐其成员,随后利用系统权限在云基础设施中横向传播,窃取各类凭证,并将数据回传至其控制服务器。
攻击者主要通过暴露的云服务(如Docker、MongoDB)获取入口,目标高度集中于TeamPCP相关系统。攻击动机以牟利为主,包括出售凭证、提供初始访问权限或直接勒索,但未安装加密货币挖矿软件。安全专家Alex Delamotte分析,攻击者可能是前TeamPCP成员、竞争对手或模仿其战术的第三方。
PCPJack活动与TeamPCP此前在2023年12月至2024年1月的攻击模式高度相似,或与2024年2月至3月该团伙成员变动有关。TeamPCP此前曾入侵欧洲委员会云系统,并攻击广泛使用的漏洞扫描工具Trivvy,波及LiteLLM、Mercor等公司。
报告指出,攻击者工具会记录成功驱逐TeamPCP的系统数量,并回传数据。部分攻击使用伪造技术支持网站和钓鱼域名,以窃取密码管理器凭证。
SentinelOne称,该组织虽扫描互联网暴露服务,但主要目标仍聚焦于TeamPCP控制的系统,显示出高度针对性。
编辑点评
此次‘PCPJack’攻击事件凸显了网络犯罪生态的复杂化与内部分化趋势。传统认知中,黑客攻击主要面向企业或个人用户,而此次攻击直接针对另一黑客组织,标志着网络犯罪内部开始出现‘清理门户’或‘资源争夺’行为,这在国际网络空间治理中属罕见现象。此类事件可能加剧全球网络空间的不确定性,使得安全防御方难以预测攻击源头与意图。
从技术角度看,攻击者对云基础设施的针对性使用,反映出云计算已成为网络犯罪的主要战场。同时,攻击者未采用加密货币挖矿等传统牟利手段,转而通过凭证交易、初始访问代理(Initial Access Broker)和勒索实现快速变现,显示其战术更加专业化、商业化。
在地缘政治层面,虽然此次事件未直接涉及国家行为体,但涉及欧洲委员会等国际机构,可能引发对全球数字基础设施安全的担忧。若类似攻击蔓延,可能影响跨国企业的数据安全与供应链稳定,进而波及全球数字经济。
未来,网络犯罪组织的内部竞争或将成为常态,安全厂商需加强针对‘黑客对抗黑客’场景的监测与响应能力,同时国际社会应推动更紧密的网络安全合作,以应对这种新型威胁形态。