В рамках кампании, названной PCPJack, хакеры получили доступ к инфраструктурам, ранее контролируемым TeamPCP, удалили их инструменты и запустили самораспространяющийся код, который собирает учётные данные и передаёт их в их собственные сети.
Что произошло
Исследователи SentinelOne обнаружили, что атакующая группа сканирует облачные сервисы — Docker, MongoDB и другие, ищет уже инфицированные цели, вытесняет TeamPCP и отправляет сведения о成功ных эксплойтах в свою инфраструктуру.
Почему это важно
Этот конфликт между киберпреступными группами показывает рост конкуренции за финансовую выгоду. Группа использует метод «initial access broker», продавая украденные привилегии другим преступникам.
Что дальше
Эксперты считают, что атака может перейти на новые облачные платформы, поскольку её архитектура позволяет быстро масштабировать захват и монетизацию украденных данных.