Gli hacker hackerano le vittime attaccate da altri hacker

Gli utenti abituali di Web e le aziende non sono le uniche vittime di hacker malintenzionati. A volte, gli hacker stessi vengono hackerati.

Questo è quello che è successo in un’insolita campagna di hacking, in cui un gruppo sconosciuto di hacker ha preso di mira sistemi già compromessi da un prolifico gruppo di criminalità informatica noto come TeamPCP. Una volta che gli hacker sono entrati in questi sistemi, hanno immediatamente cacciato gli hacker TeamPCP e rimosso i loro strumenti, secondo un nuovo rapporto dalla società di sicurezza informatica SentinelOne.

Da lì, gli hacker utilizzano il loro accesso per distribuire codice progettato per replicarsi su various infrastrutture cloud come un worm che si diffonde automaticamente, rubare vari tipi di credenziali e infine inviare i dati rubati alla loro infrastruttura.

TeamPCP è un gruppo criminale informatico che ha fatto notizia nelle ultime settimane, grazie a una serie di hack di alto profilo attribuiti al gruppo. Tali attacchi hanno incluso una violazione dell’infrastruttura cloud della Commissione europea e un attacco informatico su vasta scala contro strumento di scansione delle vulnerabilità ampiamente utilizzato Trivvyche ha colpito tutte le aziende che hanno fatto affidamento su di esso, tra cui LiteLLM e la startup di reclutamento di AI Mercor, tra le altre.

Alex Delamotte, il ricercatore senior di SentinelOne che ha scoperto la nuova campagna di hacking e l’ha soprannominata “PCPJack”, ha detto a TechCrunch che non è chiaro chi ci sia dietro. A questo punto, Delamotte ha detto che le sue tre teorie sono che gli hacker sono ex membri scontenti del TeamPCP; fanno parte di un gruppo rivale; o una terza parte “che ha scelto di modellare direttamente i propri strumenti di attacco sulle precedenti campagne di TeamPCP”, molte delle quali avevano preso di mira l’infrastruttura cloud.

“I servizi presi di mira da PCPJack assomigliano molto alle campagne TeamPCP di dicembre-gennaio, prima del presunto cambiamento nell’appartenenza al gruppo avvenuto in febbraio-marzo”, ha affermato Delamotte.

Delamotte ha inoltre osservato che gli hacker non prendono di mira solo i sistemi compromessi da TeamPCP, ma scansionano anche Web alla ricerca di servizi esposti come la piattaforma cloud di macchine virtuali Docker, i database che eseguono MongoDB e altri. Ma SentinelOne ha affermato che il gruppo sembrava in gran parte concentrato sul prendere di mira TeamPCP.

Secondo il rapporto, gli strumenti degli hacker tengono il conto del numero di obiettivi violati da cui hanno sfrattato con successo TeamPCP, inviando queste informazioni alla sua infrastruttura.

Gli obiettivi degli hacker PCPJack sembrano essere puramente finanziari, poiché rubano le credenziali con l’obiettivo di monetizzarle. Gli hacker lo fanno rivendendoli, vendendo l’accesso ai sistemi hackerati come cosiddetti dealer di accesso iniziale – hacker che irrompono nei sistemi e poi lasciano entrare clienti paganti nelle macchine hackerate, oppure estorcono direttamente le vittime.

Gli hacker, tuttavia, non tentano di installare software program per estrarre criptovalute sui sistemi hackerati, probabilmente perché story strategia richiede più tempo per raccogliere i frutti, secondo Delamotte.

Secondo Delamotte, come parte di alcuni dei loro attacchi, gli hacker utilizzano domini che suggeriscono che stanno effettuando phishing per le credenziali del gestore password e utilizzano siti Net di assist desk falsi.