Giriş
Yeni keşfedilen bir kimlik hırsızlığı çerçevesi olan PCPJack, bulut altyapısını hedef alarak TeamPCP ile ilişkili her türlü nesneyi ortamdan çıkarma amacı gütmektedir. Bu tehdit, bulut hizmetlerini hedef alarak siber suçluların yasa dışı gelir elde etmesini sağlamak için tasarlanmıştır.
Saldırı Nasıl Çalışıyor?
PCPJack, bulut, konteyner, geliştirici ve finansal hizmetlerden kimlik bilgilerini toplayarak, bu verileri saldırgan kontrolündeki altyapıya aktarırken aynı zamanda diğer sistemlere yayılmaya çalışmaktadır. SentinelOne güvenlik araştırmacısı Alex Delamotte’a göre, PCPJack’in amacı, kötü niyetli gelir elde etmek için kimlik bilgilerini çalmaktır.
Söz konusu çerçeve, özellikle aşağıdaki bulut hizmetlerini hedef alır:
- Docker
- Kubernetes
- Redis
- MongoDB
- RayML
- Güvenlik açığı olan web uygulamaları
Yayılma ve lateral hareket yetenekleri sayesinde, PCPJack saldırıları, hedef ağlarda yaygınlaşarak daha fazla veri hırsızlığı yapabilir.
Etkilenen Sistemler
PCPJack, bilinen güvenlik açıklarını ve yanlış yapılandırmaları kullanarak sistemlere sızabilir. Öne çıkan CVE kodları şunlardır:
- CVE-2025-55182
- CVE-2025-29927
- CVE-2026-1357
- CVE-2025-9501
- CVE-2025-48703
Saldırı, bir başlangıç bootstrap kabuk betiği ile başlar ve ortamı hazırlamak için çeşitli aşamaları içerir. Bu aşamalar arasında Python’u kurma, bir orkestrasyon betiği başlatma ve TeamPCP ile ilişkilendirilmiş süreçleri sonlandırma bulunmaktadır.
Çözüm ve Korunma
PCPJack ile mücadele etmek ve etkilerini azaltmak için önerilen önlemler:
- Bulut altyapılarınızı sürekli izleyin ve güvenlik açıklarını kapatın.
- Güncel yazılım ve sistem güncellemelerini uygulayın.
- Güvenlik duvarı ayarlarınızı gözden geçirin ve gereksiz portları kapatın.
- Şüpheli etkinlikleri izlemek için güvenlik izleme araçları kullanın.
Özellikle bulut hizmetleri üzerinde güvenlik konfigürasyonlarının doğru yapıldığından emin olun.
Sonuç
Okuyucular, bulut altyapılarındaki güvenlik açıklarını gidermek ve kimlik bilgilerini korumak için acil olarak güncellemeler yapmalı, gereksiz portları kapatmalı ve sistemlerini izlemeye devam etmelidir. Bu tür saldırılara karşı proaktif bir yaklaşım benimsemek hayati öneme sahiptir.
