هاكرز يخترقون الضحايا الذين هاجمهم قراصنة آخرون

مستخدمو الإنترنت العاديون والشركات ليسوا الضحايا الوحيدين للمتسللين الخبيثين. في بعض الأحيان يقع المتسللون ضحية لهجوم القراصنة.

هذا ما حدث خلال حملة قرصنة غير عادية استهدفت فيها مجموعة غير معروفة من المتسللين الأنظمة المصابة بالفعل من قبل مجموعة إجرامية إلكترونية غزيرة الإنتاج تعرف باسم TeamPCP. بمجرد قيام المتسللين باختراق هذه الأنظمة، قاموا على الفور بطرد قراصنة TeamPCP وإزالة أدواتهم، وفقا لتقرير جديد بواسطة SentinelOne، شركة الأمن السيبراني.

ومن هناك، يستخدم المتسللون وصولهم لنشر تعليمات برمجية مصممة للنسخ عبر مختلف البنى التحتية السحابية مثل فيروس متنقل ذاتي الانتشار، وسرقة أنواع مختلفة من بيانات الاعتماد، وأخيرًا إرسال البيانات المسروقة مرة أخرى إلى البنية التحتية الخاصة بهم.

TeamPCP هي مجموعة جرائم إلكترونية تصدرت عناوين الأخبار خلال الأسابيع القليلة الماضية بفضل سلسلة من الانتهاكات البارزة المنسوبة إلى المجموعة. وتضمنت هذه الاختراقات اختراقًا للبنية التحتية السحابية للمفوضية الأوروبية وهجومًا إلكترونيًا واسع النطاق أداة فحص الثغرات الأمنية Trivvy المستخدمة على نطاق واسعمما أثر على كل شركة اعتمدت عليها، بما في ذلك شركة LiteLLM وشركة التوظيف الناشئة Mercor للذكاء الاصطناعي، من بين شركات أخرى.

وقال أليكس ديلاموت، أحد كبار الباحثين في SentinelOne، الذي اكتشف حملة القرصنة الجديدة وأطلق عليها اسم “PCPJack”، لـ TechCrunch، إنه من غير الواضح من يقف وراءها. في هذه المرحلة، قالت ديلاموت إن نظرياتها الثلاث هي أن المتسللين هم إما أعضاء سابقون ساخطون في TeamPCP؛ تكون جزءًا من مجموعة تنافسية؛ أو جهة خارجية “اختارت تصميم أدوات الهجوم الخاصة بها بشكل مباشر على حملات TeamPCP السابقة”، والتي استهدف الكثير منها البنية التحتية السحابية.

وقال ديلاموت: “إن الخدمات التي استهدفتها PCPJack تشبه إلى حد كبير حملات TeamPCP في ديسمبر ويناير، قبل التغيير المزعوم في عضوية المجموعة الذي حدث في أواخر فبراير وأوائل مارس”.

وأشار ديلاموت أيضًا إلى أن المتسللين لا يستهدفون الأنظمة التي تم اختراقها بواسطة TeamPCP فحسب، بل يقومون أيضًا بمسح الإنترنت بحثًا عن الخدمات المكشوفة مثل Docker في سحابة الجهاز الظاهري وقواعد البيانات من MongoDB وغيرها. ومع ذلك، قال SentinelOne إن المجموعة بدت وكأنها تركز إلى حد كبير على مهاجمة TeamPCP.

وفقًا للتقرير، تسجل أدوات المتسللين عدد الأهداف المخترقة التي نجحوا في طرد TeamPCP منها، وإرسال هذه المعلومات مرة أخرى إلى البنية التحتية الخاصة بهم.

يبدو أن أهداف قراصنة PCPJack مالية بحتة، حيث يقومون بسرقة بيانات الاعتماد مع التركيز على تحقيق الدخل منها. يقوم المتسللون بذلك عن طريق إعادة بيعها، وبيع إمكانية الوصول إلى الأنظمة المخترقة باسم ما يسمى بوسطاء الوصول الأولي – المتسللون الذين يقتحمون الأنظمة ثم يسمحون للعملاء بالدفع إلى الأجهزة المخترقة أو ابتزاز الضحايا مباشرة.

ومع ذلك، لا يحاول المتسللون تثبيت برامج تعدين العملات المشفرة على الأنظمة المخترقة، ويرجع ذلك على الأرجح إلى أن الاستراتيجية تتطلب مزيدًا من الوقت لجني الفوائد، وفقًا لديلاموت.

وفقًا لديلاموت، تستخدم بعض الهجمات نطاقات تشير إلى أنها تقوم بالتصيد الاحتيالي للحصول على بيانات اعتماد مدير كلمات المرور، بالإضافة إلى استخدام مواقع دعم مزيفة.