Пријави инцидент
Пријави инцидент

PCPJack киднапираше 230 AWS, Google Cloud и Azure сервери за тајна SMTP релеј мрежа

Објавено: 05.06.2026

Заканувачкиот актер познат како PCPJack киднапирал cloud сервери поврзани со Amazon Web Services (AWS), Google Cloud и Microsoft Azure со цел да создаде тајна SMTP мрежа за препраќање на е-пошта.

„Компромитираните деловни сервери низ САД, Европа и Азија беа тивко претворени во SMTP прокси-сервери, проверени за способност за препраќање пошта и синхронизирани со краен корисник на секои пет минути“, соопшти Hunt.io. „Инфраструктурата сè уште беше активна кога ја откривме.“

Компанијата за разузнавање на сајбер-закани соопшти дека пронашла изворен код, компајлирани бинарни датотеки, логови за состојбата на распоредувањето, интернет-скенери, алатки за експлоатација и активна Sliver конфигурација, откако напаѓачот зад операцијата оставил два отворени директориуми на сервер за командување и контрола (C2) („213.136.80[.]73“) без никаква автентикација.

PCPJack првпат беше откриен од SentinelOne во април 2026 година, кога беше идентификувана рамка за кражба на акредитиви која специфично ги таргетира cloud услугите. Истовремено, таа преземала чекори за прекинување и отстранување на процеси или артефакти поврзани со TeamPCP, друга озлогласена хакерска група која во последните месеци привлече внимание поради напади врз синџирите за снабдување со софтвер.

Во еден од отворените директориуми бил пронајден алатник за распоредување на SMTP прокси интегриран со Sliver, заедно со Chisel алатки за тунелирање и прокси-бинарни датотеки за повеќето Linux процесорски архитектури, вклучувајќи AMD64, ARM64 и x86. На страната на жртвата, бинарната датотека се поставува како скриена датотека со префикс точка и се зачувува на локацијата „/var/tmp/.xs“.

Во директориумите биле пронајдени и скрипти за распоредување дизајнирани да ја вчитаат конфигурацијата на Sliver C2 клиентот и да филтрираат Linux beacon импланти кои се пријавиле во последните десет минути. Beacon-ите се импланти кои периодично комуницираат со C2 серверот во редовни интервали за да се пријават и да преземат нови команди.

„Секој beacon добива SOCKS5 прокси-порта која детерминистички се генерира од MD5 хаш на неговиот Sliver UUID и се мапира во опсегот од 10000 до 14999“, забележува Hunt.io. „Истиот beacon секогаш се мапира на истата порта при секое извршување, со што се елиминира потребата од заеднички регистар на порти.“

Скриптата исто така може да изврши SMTP проверка на квалитет (quality gate), при што тестира дали системот има излезен пристап до smtp.gmail[.]com:587. Хостовите што не ја поминуваат оваа проверка се прескокнуваат и процесот завршува со излезен код нула.

„Оваа проверка ја дефинира целта на операцијата: хостовите што не можат да препраќаат е-пошта немаат никаква вредност за овој процес“, додава компанијата за сајбер-безбедност. „Beacon-ите се обработуваат во серии од по 50, со пауза од 25 минути по поставувањето на датотеките и дополнителни 15 минути по извршувањето на командите, за да се овозможи доволно време за beacon-ите со подолги интервали на пријавување да се поврзат со серверот и да ги преземат инструкциите.“

Подоцнежните верзии на скриптите за распоредување (deployer scripts) покажуваат дека SMTP проверката и логиката за обработка во серии биле отстранети. Исто така, бил пронајден и дијагностички скрипт кој избира пет активни beacon-и и на секој од нив му задава shell команда за проверка на следново:

  • Присуство на Chisel бинарни датотеки на познати локации за поставување
  • Дали работи Chisel процес
  • Достапен простор на дискот
  • Достапност на портата 9000 на C2 серверот
  • Присуство на механизми за перзистентност, како што се cron записи или systemd сервиси

Дополнително, на C2 серверот работи Python скрипта наречена „chisel_verifier.py“ како постојан процес во позадина. Таа на секои 60 секунди ги евидентира активните Chisel тунелски порти преку командата ss -tlnp, ја тестира SMTP функционалноста на секоја новооткриена порта и ги отстранува од активниот список сите неуспешни или прекинати тунели.

Потврдените прокси-сервери дополнително се збогатуваат со информации како што се јавната IP адреса, државата и ASN (Autonomous System Number), користејќи услуги како api.ipify[.]org и ip-api[.]com.

Потоа, листите на прокси-сервери се синхронизираат на секои пет минути преку Secure Copy Protocol (SCP) кон посебен downstream сервер на адресата 38.242.204[.]245. Во моментов овој сервер не е достапен. Крајната цел на операцијата засега останува нејасна.

„Резултатот од 230 компромитирани јазли е она што можеме директно да го набљудуваме. Од пронајдените датотеки не може да се утврди дали станува збор за еден оператор кој постепено ја развивал операцијата или за повеќе актери кои ја споделувале истата инфраструктура“, соопшти Hunt.io, опишувајќи ја кампањата како опортунистичка.

„Потврдената листа на прокси-сервери се синхронизира на секои пет минути со тој сервер, а некој активно ја користи. Без разлика дали е за спам, фишинг или нешто друго, инфраструктурата за испорака на голем обем сообраќај очигледно била целосно оперативна.“

Извори:

  • The Hacker News – PCPJack Hijacks 230 AWS, Google Cloud, and Azure Servers for Covert SMTP Relay Network The Hacker News