حرب هاكرز داخلية.. مجموعة جديدة تسيطر على الأنظمة المخترقة

في تطور لافت يعكس تصاعد المنافسة داخل عالم الجريمة الإلكترونية، كشف باحثون أمنيون عن حملة اختراق جديدة تستهدف أنظمة سبق أن اخترقتها مجموعة أخرى، في مشهد غير معتاد حتى في عالم الهاكرز.

مجموعة مجهولة تطرد TeamPCP من الأنظمة

وفق تقرير شركة الأمن السيبراني SentinelOne، قامت مجموعة مجهولة بمهاجمة أنظمة كانت تحت سيطرة عصابة TeamPCP، ثم حذفت أدواتهم بالكامل واستولت على الأجهزة المصابة. بعد السيطرة، بدأت المجموعة الجديدة بنشر شيفرات خبيثة ذاتية الانتشار عبر البنى السحابية، على طريقة “الديدان الإلكترونية”. كما قامت بسرقة كلمات المرور وبيانات الاعتماد وإرسالها إلى خوادمها الخاصة.

من هي المجموعة الجديدة؟

الباحثة الأمنية أليكس ديلاموت أطلقت على الحملة اسم PCPJack، ورجّحت ثلاث فرضيات حول هوية المنفذين: أعضاء سابقون غاضبون من TeamPCP، مجموعة منافسة تحاول السيطرة، أو جهة تقلّد أدوات TeamPCP بعد دراسة هجماتهم السابقة. أسلوب الهجمات يشبه عمليات TeamPCP بين ديسمبر ويناير، قبل تغييرات داخلية في بنية المجموعة خلال فبراير ومارس.

TeamPCP.. مجموعة أثارت ضجة مؤخراً

برزت TeamPCP خلال الأسابيع الماضية بعد هجمات استهدفت البنية السحابية للمفوضية الأوروبية، أداة فحص الثغرات Trivvy، وشركات مثل LiteLLM وMercor. ومع ذلك، فإن هجمات PCPJack لا تكتفي بالأنظمة المخترقة سابقاً، بل تقوم أيضاً بمسح الإنترنت بحثاً عن منصات Docker المكشوفة، قواعد بيانات MongoDB الضعيفة، وخدمات أخرى غير محمية.

الدافع: المال وليس التخريب

بحسب التقرير، الهدف الأساسي لهذه المجموعة هو بيع بيانات الدخول أو بيع الوصول إلى الأنظمة عبر سماسرة الوصول الأولي، أو ابتزاز الضحايا. ولا تعتمد المجموعة على تعدين العملات المشفرة لأنه بطيء وغير مربح مقارنة بسرقة البيانات. كما رصد الباحثون استخدام مواقع مزيفة تحاكي خدمات الدعم الفني ومديري كلمات المرور لسرقة المزيد من بيانات الاعتماد.