في تطور غير معتاد بعالم الجريمة الإلكترونية، كشف باحثون أمنيون عن حملة اختراق جديدة تستهدف أنظمة سبق أن تعرضت للاختراق من قبل مجموعة قراصنة أخرى، في مشهد يعكس تصاعد المنافسة حتى داخل عالم الهاكرز أنفسهم.
ووفقاً لتقرير نشرته شركة الأمن السيبراني SentinelOne، قامت مجموعة مجهولة بمهاجمة أنظمة مخترقة سابقاً من قبل عصابة إلكترونية تُعرف باسم TeamPCP، قبل أن تطرد القراصنة الأصليين وتحذف أدواتهم من الأجهزة المصابة.
وبعد السيطرة على الأنظمة، تبدأ المجموعة الجديدة بنشر شيفرات خبيثة قادرة على الانتشار الذاتي عبر البنى السحابية المختلفة بطريقة تشبه “الديدان الإلكترونية، إلى جانب سرقة بيانات الاعتماد وكلمات المرور وإرسالها إلى خوادمها الخاصة
وتُعد TeamPCP من أبرز مجموعات القرصنة التي تصدرت العناوين خلال الأسابيع الأخيرة، بعدما نُسبت إليها هجمات استهدفت البنية السحابية للمفوضية الأوروبية، إضافة إلى هجوم واسع طال أداة فحص الثغرات الأمنية Trivvy، ما أثر على شركات عديدة بينها LiteLLM وشركة التوظيف بالذكاء الاصطناعي Mercor.
وأطلقت الباحثة الأمنية أليكس ديلاموت من “SentinelOne” على الحملة الجديدة اسم “PCPJack”، مشيرة إلى أن هوية المجموعة المنفذة لا تزال مجهولة.
ورجحت ديلاموت ثلاث فرضيات بشأن الجهة المسؤولة، تشمل احتمال أن يكون المنفذون أعضاء سابقين غاضبين من TeamPCP، أو مجموعة منافسة، أو جهة أخرى قامت بتقليد أدوات وتقنيات المجموعة الأصلية بعد دراسة هجماتها السابقة على البنى السحابية.
وأضافت أن أسلوب الهجمات الجديدة يشبه بشكل كبير العمليات التي نفذتها TeamPCP خلال الفترة بين ديسمبر ويناير، قبل الحديث عن تغييرات داخلية في بنية المجموعة خلال فبراير ومارس.
ورغم أن الحملة تركز بصورة أساسية على الأنظمة التي سبق اختراقها من قبل TeamPCP، فإن المهاجمين يقومون أيضاً بمسح الإنترنت بحثاً عن خدمات مكشوفة وضعيفة الحماية، مثل منصات “Docker” وقواعد بيانات “MongoDB” وغيرها.
وبحسب التقرير، تحتفظ أدوات المهاجمين بإحصائيات حول عدد الأنظمة التي نجحوا في “طرد” TeamPCP منها، وترسل هذه البيانات بشكل دوري إلى خوادمهم.
ويبدو أن الدافع الرئيسي وراء الهجمات مالي بحت، إذ يسعى القراصنة إلى سرقة بيانات الدخول وبيعها، أو إعادة بيع الوصول إلى الأنظمة المخترقة عبر ما يُعرف بسماسرة الوصول الأولي Initial Access Brokers، أو حتى ابتزاز الضحايا مباشرة.
وأشار التقرير إلى أن المجموعة لا تعتمد على تعدين العملات المشفرة داخل الأجهزة المخترقة، على الأرجح لأن هذا النوع من الهجمات يحتاج وقتاً أطول لتحقيق أرباح.
كما رصد الباحثون استخدام القراصنة لنطاقات ومواقع مزيفة تحاكي خدمات الدعم الفني ومديري كلمات المرور، في محاولة لسرقة المزيد من بيانات الاعتماد عبر هجمات التصيد الاحتيالي.