Introduction
Les hackers ne sont pas les seuls à être capables de mener des attaques sophistiquées. Parfois, ils peuvent même être la cible d’autres hackers. C’est ce qui s’est passé dans une campagne de hacking inédite, où un groupe inconnu de hackers a ciblé des systèmes déjà compromis par un groupe de cybercrime connu sous le nom de TeamPCP.
Contexte Technique
Une fois les hackers ayant pénétré ces systèmes, ils ont immédiatement expulsé les hackers de TeamPCP et supprimé leurs outils, selon un rapport de la société de cybersécurité SentinelOne. Les hackers ont ensuite utilisé leur accès pour déployer du code conçu pour se répliquer à travers différentes infrastructures cloud comme un ver solitaire, voler divers types d’informations d’identification et envoyer les données volées à leur infrastructure.
TeamPCP est un groupe de cybercrime qui a fait les gros titres ces dernières semaines en raison d’une série d’attaques de haute visibilité attribuées au groupe. Ces attaques comprennent une violation de l’infrastructure cloud de la Commission européenne et une attaque cybernétique à grande échelle contre un outil de scan de vulnérabilités largement utilisé appelé Trivvy, qui a affecté toute entreprise qui en dépendait, y compris LiteLLM et le startup de recrutement par IA Mercor, entre autres.
Analyse et Implications
Alex Delamotte, la chercheuse senior de SentinelOne qui a découvert la nouvelle campagne de hacking et l’a baptisée « PCPJack », a déclaré à TechCrunch qu’il n’est pas clair qui se cache derrière cette campagne. À ce stade, Delamotte a dit que ses trois théories sont que les hackers sont soit d’anciens membres mécontents de TeamPCP, soit un groupe rival, soit un tiers « qui a choisi de modéliser directement ses outils d’attaque sur les campagnes précédentes de TeamPCP », dont beaucoup ciblaient l’infrastructure cloud.
Les objectifs des hackers PCPJack semblent être purement financiers, car ils volent des informations d’identification avec un focus sur leur monétisation. Les hackers font cela en les revendant, en vendant l’accès aux systèmes compromis en tant que courtiers d’accès initial – des hackers qui pénètrent dans les systèmes et laissent ensuite les clients payants dans les machines compromises, ou en extorquant directement les victimes.
Perspective
Il est important de noter que les hackers ne tentent pas d’installer des logiciels pour miner des crypto-monnaies sur les systèmes compromis, probablement parce que cette stratégie nécessite plus de temps pour obtenir des récompenses, selon Delamotte. Dans le cadre de certaines de leurs attaques, les hackers utilisent des domaines qui suggèrent qu’ils sont en train de phisher des informations d’identification de gestionnaires de mots de passe et utilisent de faux sites Web d’assistance, selon Delamotte.
