Yeni PCPJack Zararlısı: Kimliği Çalan ve Takip Edilen Erişimleri Temizleyen Tehdit
PCPJack adında yeni bir zararlı yazılım çerçevesi, maruz kalmış bulut altyapısından kimlik bilgilerini çalıyor ve TeamPCP’nin sistemlere erişimini aktif olarak engelliyor. Bu durum, siber güvenlik açısından ciddi bir risk oluşturmakta ve özellikle bulut teknolojilerinin yaygın olarak kullanılmasından dolayı endişe verici bir hal almıştır.
Saldırı Nasıl Çalışıyor?
PCPJack, Linux tabanlı bulut sistemlerini hedef alarak bir bootstrap.sh isimli shell betiği aracılığıyla enfekte olmaktadır. Uygulama çalıştırıldığında:
- Gizli bir çalışma dizini oluşturur.
- Python bağımlılıklarını yükler.
- Ek modüller indirir.
- Kalıcılığı sağlamak için gerekli ayarlamaları yapar.
- Ana orkestratörü (monitor.py) başlatır.
Bu aşamada, PCPJack, TeamPCP’ye ait tüm araçları tespit eder ve silmeye çalışarak kendini ele geçirir. Yapılan temizleme işlemleri, TeamPCP üzerindeki tüm süreçleri, servisleri, konteynerleri ve dosyaları ortadan kaldırarak enfeksiyonu tamamen silmeyi amaçlar.
Etkilenen Sistemler
PCPJack, aşağıdaki hizmetleri hedef almaktadır:
- Docker
- Kubernetes
- Redis
- MongoDB
- RayML
Zararlı yazılım, kimlik bilgilerini bulut ortamlarından toplayarak Telegram kanallarına gönderir. Bu işlem sırasında, veriler X25519 ECDH ve ChaCha20-Poly1305 şifreleme yöntemleriyle korunur ve Telegram’ın mesaj karakter sınırlarına uygun olarak 2800 baytlık parçalara bölünür.
Exploited Vulnerabilities
PCPJack, aşağıdaki zafiyetleri istismar ederek bulut altyapısına sızmaktadır:
- CVE-2025-29927: Next.js middleware’da özel başlık kullanarak kimlik bypass’ı
- CVE-2025-55182: React ve Next.js’de sunucu eylemleri serileştirme hatası (“React2Shell”)
- CVE-2026-1357: WPVivid Backup’ta kimlik denetimi gerektirmeyen dosya yükleme
- CVE-2025-9501: W3 Total Cache’de önbelleğe alınmış mfunc yorumları ile PHP enjeksiyonu
- CVE-2025-48703: CentOS Web Panel Dosya Yöneticisi’nde shell enjeksiyonu
Bilgisayar ortamlarında erişim sağlandıktan sonra, zararlı yazılım, SSH anahtarlarını ve kimlik bilgilerini toplamakta, Kubernetes kümelerini ve Docker demolarını listelemekte ve erişilebilir iç ağ üzerindeki sunucularda kendini çalıştırmaktadır.
Çözüm ve Korunma
Riskleri azaltmak amacıyla önerilen önlemler şunlardır:
- Çok faktörlü kimlik doğrulama (MFA) kullanın.
- AWS’de IMDSv2 kullanın.
- Docker ve Kubernetes hizmetleri için uygun kimlik doğrulamasını sağlayın.
- Asgari ayrıcalık ilkelerine uyun.
- Gizli anahtarları düz metin halinde saklamaktan kaçının.
Sonuç olarak, sistem yöneticileri ve güvenlik profesyonelleri, yukarıda belirtilen önlemleri almalı ve hizmetlerini güncelleyerek bu tür tehditlere karşı kendilerini korumalıdır. Ayrıca, sistemlerindeki açıkları kapatmak adına, güncellemeleri zamanında uygulamak önemlidir.
