Kötü niyetli hackerların kurbanları sadece sıradan internet kullanıcıları ve işletmeler değil. Bazen hackerlar da hackleniyor.
Bu, bilinmeyen bir hacker grubunun, TeamPCP adlı tanınmış siber suç grubunun daha önce ele geçirdiği sistemleri hedef aldığı sıra dışı bir saldırı kampanyasında yaşandı. Hackerlar bu sistemlere girdiğinde, hemen TeamPCP’yi dışarı atıp, onların araçlarını da kaldırdı. Bu durum, siber güvenlik firması SentinelOne’ın yayınladığı bir raporda belirtiliyor.
Hackerlar, erişimlerini kullanarak, kendiliğinden yayılan bir solucan gibi çeşitli bulut altyapılarda çoğalacak şekilde kod dağıtıyor, farklı türde kimlik bilgilerini çalıyor ve çalınan verileri kendi sistemlerine geri gönderiyor.
TeamPCP, son birkaç haftada grup ile ilişkilendirilen yüksek profilli siber saldırılar sayesinde dikkat çekiyor. Bu saldırılar arasında Avrupa Komisyonu’nun bulut altyapısına yapılan bir ihlal ve çok sayıda şirketi etkileyen geniş çaplı siber saldırı yer alıyor. Bu saldırılardan biri, oldukça yaygın olarak kullanılan zafiyet tarayıcı aracı Trivvy’e yönelikti; bu, LiteLLM ve AI işe alım girişimi Mercor gibi şirketleri de etkiledi.
SentinelOne’da kıdemli araştırmacı olan Alex Delamotte, yeni hack kampanyasını buldu ve “PCPJack” adını verdi. Delamotte, arkasındaki grubun kim olduğu konusunda net bir bilgi olmadığını belirtiyor. Şu anda, hackerların ya TeamPCP’den ayrılmış memnuniyetsiz eski üyeler, bir rakip grup, ya da doğrudan TeamPCP’nin önceki kampanyalarını baz alarak kendi saldırı araçlarını geliştiren bir üçüncü taraf olabileceği üç teorisi var.
Delamotte, “PCPJack’in hedefleri, TeamPCP’nin Aralık-Şubat dönemindeki kampanyalarına çok benziyor” diyor.
Hackçiler yalnızca TeamPCP tarafından ele geçirilmiş sistemleri hedef almakla kalmıyor, aynı zamanda interneti, Docker gibi sanal makine bulut platformlarını ve MongoDB gibi çalışan veritabanlarını tarayarak açık hizmetleri de araştırıyor. Ancak SentinelOne, grubun ağırlıklı olarak TeamPCP’yi hedef aldığını belirtiyor.
Rapora göre, hackerların kendi araçları, TeamPCP’yi başarıyla dışarı attıkları hedeflerin sayısını takip ediyor ve bu bilgiyi kendi altyapısına geri gönderiyor.
PCPJack hackerlarının hedeflerinin tamamen maddi olduğu görülüyor, çünkü kimlik bilgilerini çalıp bunları paraya çevirmeye odaklanıyorlar. Bunu, çalınan kimlik bilgilerini yeniden satarak veya hacklenmiş sistemlere erişim satışı yaparak gerçekleştiriyorlar. Ayrıca, kurbanlarını doğrudan tehdit ederek de paraya çevirebiliyorlar.
Hackerlar, hacklenmiş sistemlerde kripto madenciliği için yazılım kurmaya çalışmıyor; bu, Delamotte’ye göre, zaman alıcı bir strateji olduğu için daha az kârlı görünüyor.
Saldırılarında, şifre yöneticisi kimlik bilgilerini ele geçirmeye çalıştıkları izlenimi veren alan adları ve sahte destek masası web siteleri kullandıkları da belirtiliyor.
Makalelerimizdeki bağlantılar üzerinden alışveriş yaptığınızda, küçük bir komisyon kazanabiliriz. Bu durum, editoryal bağımsızlığımızı etkilemez.
