**PCPJack**は、クラウド環境を特に標的とする新たな認証情報窃取フレームワークであり、認証情報を窃取し、**TeamPCP**グループの痕跡を削除するように設計されています。**SentinelOne**のレポートによると、このフレームワークはクラウド、コンテナ、開発者、生産性、金融サービスを標的とし、攻撃者が制御するインフラストラクチャを通じてデータを窃取し、追加のホストへの拡散を試みます。 ### PCPJackの犯行手口 **PCPJack**は、Docker、Kubernetes、Redis、MongoDB、RayMLなどのサービスや、脆弱なWebアプリケーションを標的とするように設計されています。これにより、攻撃者はワームのように拡散し、侵害されたネットワーク内でラテラルムーブメントを行うことができます。主な目的は、認証情報窃取、詐欺、スパム、恐喝、または盗まれたアクセスの再販を通じて不正な収益を生成することのようです。 ### TeamPCPとの類似点と相違点 このキャンペーンは、**React2Shell**のような脆弱性やクラウドサービスの誤設定を悪用してデータ窃取やその他のポストエクスプロイト活動を行うことで知られるグループ、**TeamPCP**と顕著な標的の重複を示しています。しかし、**TeamPCP**とは異なり、**PCPJack**には暗号通貨マイニングコンポーネントがありません。この類似性から、**PCPJack**はグループの戦術に精通した元**TeamPCP**メンバーの仕業である可能性が示唆されています。 ### 攻撃ライフサイクル 攻撃は、環境を設定し、次のステージのツールをダウンロードし、自身のインフラストラクチャに感染するブートストラップシェルスクリプトから始まります。このスクリプトは、**TeamPCP**に関連するプロセスやアーティファクトを終了・削除し、Pythonをインストールし、永続性を確立し、6つのPythonスクリプトをダウンロードし、オーケストレーションスクリプトを起動してから、自身を削除します。  ### Pythonペイロード PCPJackが使用する6つのPythonペイロードは以下の通りです。 * **worm.py** (monitor.py): モジュールを起動し、ローカルの認証情報窃取を実行し、既知の脆弱性（**CVE-2025-55182**、**CVE-2025-29927**、**CVE-2026-1357**、**CVE-2025-9501**、**CVE-2025-48703**）を悪用してツールセットを拡散し、コマンドアンドコントロール（C2）にTelegramを使用するメインオーケストレーター。 * **parser.py** (utils.py): 認証情報の抽出を処理し、窃取されたキーとシークレットを分類します。 * **lateral.py** (_lat.py): 偵察を容易にし、シークレットを収集し、SSH、Kubernetes、Docker、Redis、RayML、MongoDBサービス全体でのラテラルムーブメントを可能にします。 * **crypto_util.py** (_cu.py): 攻撃者のTelegramチャンネルへの exfiltration の前に認証情報を暗号化します。 * **cloud_ranges.py** (_cr.py): **Amazon Web Services (AWS)**、**Google Cloud**、**Microsoft Azure**、**Cloudflare**、**Cloudfront**、**Fastly**に割り当てられたIPアドレス範囲を収集し、データを24時間ごとに更新します。 * **cloud_scan.py** (_csc.py): Docker、Kubernetes、MongoDB、RayML、またはRedisサービスを介した外部伝播のためにクラウドポートスキャンを実行します。 ### 伝播とデータ exfiltration オーケストレーションスクリプトは、Common Crawlから直接伝播ターゲットを取得します。データ exfiltration 中、**PCPJack**オペレーターは、**TeamPCP**が標的環境から排除されたかどうかに関するメトリクスを収集し、**TeamPCP**の活動を直接妨害することに焦点を当てていることを示しています。 ### 追加インフラストラクチャ分析 さらなる分析により、CPUアーキテクチャを検出し、適切な**Sliver**バイナリを取得するシェルスクリプト（"check.sh"）が明らかになりました。また、Instance Metadata Service (IMDS) エンドポイント、Kubernetes サービスアカウント、Docker インスタンスをスキャンして、Anthropic、Digital Ocean、Discord、Google API、Grafana Cloud、HashiCorp Vault、OnePassword、OpenAI に関連付けられた認証情報を検出し、外部サーバーに送信します。 ### SentinelOneの評価 **SentinelOne**は、2つのツールセットは、いくつかの冗長性があるにもかかわらず、よく開発されておりモジュール式であると評価しています。このキャンペーンは、**TeamPCP**に関連するマイナー機能を意図的に削除していますが、攻撃者は依然として暗号通貨の認証情報を抽出するための明確なスコープを持っています。