PCPJack chiếm quyền điều khiển 230 server AWS, Google Cloud và Azure để xây dựng mạng lưới SMTP relay
Nhóm tin tặc PCPJack đã lợi dụng các server doanh nghiệp trên nền tảng cloud để thiết lập một mạng lưới SMTP relay ngầm, phục vụ cho các hoạt động tấn công quy mô...
Một nhóm tin tặc có tên PCPJack vừa bị phát hiện thực hiện chiến dịch chiếm quyền điều khiển hàng loạt server doanh nghiệp trên các nền tảng điện toán đám mây lớn như Amazon Web Services (AWS), Google Cloud và Microsoft Azure. Mục tiêu của chiến dịch này là xây dựng một mạng lưới SMTP relay ngầm nhằm phục vụ cho các hoạt động phát tán email quy mô lớn.
Theo báo cáo từ công ty an ninh mạng Hunt.io, các server bị xâm nhập tại Mỹ, châu Âu và châu Á đã bị biến thành các proxy SMTP. Các máy chủ này được kiểm tra khả năng chuyển tiếp email và đồng bộ hóa dữ liệu với một máy chủ điều khiển (C2) định kỳ mỗi 5 phút.
Sự việc được phơi bày sau khi các nhà nghiên cứu tìm thấy hai thư mục mở, không được bảo mật trên một server C2 (địa chỉ 213.136.80[.]73). Tại đây, nhóm tin tặc đã để lộ mã nguồn, các tệp nhị phân đã biên dịch, nhật ký triển khai, công cụ quét internet, bộ công cụ khai thác (exploit) và cấu hình Sliver C2 đang hoạt động.
PCPJack lần đầu được SentinelOne xác định vào tháng 4/2026 thông qua một framework đánh cắp thông tin xác thực nhắm vào các dịch vụ cloud. Đáng chú ý, nhóm này còn thực hiện các thao tác loại bỏ các tiến trình hoặc tệp tin liên quan đến TeamPCP – một nhóm tin tặc khét tiếng khác chuyên thực hiện các cuộc tấn công chuỗi cung ứng phần mềm.
Cơ chế hoạt động của mạng lưới
Tại các máy chủ nạn nhân, mã độc được triển khai dưới dạng một tệp ẩn có tiền tố dấu chấm tại đường dẫn /var/tmp/.xs. Tin tặc sử dụng bộ công cụ triển khai proxy SMTP tích hợp Sliver, kết hợp với các tệp nhị phân Chisel để tạo đường hầm (tunneling) cho nhiều kiến trúc CPU Linux khác nhau như AMD64, ARM64 và x86.
Hệ thống còn được trang bị một cơ chế “cổng chất lượng” (quality gate) để kiểm tra khả năng kết nối outbound tới smtp.gmail[.]com:587. Chỉ những máy chủ vượt qua bài kiểm tra này mới được giữ lại trong mạng lưới proxy, đảm bảo hiệu suất cho việc gửi email.
Ngoài ra, một script Python có tên chisel_verifier.py chạy như một daemon nền trên server C2, liên tục kiểm tra trạng thái của các đường hầm Chisel mỗi 60 giây. Các proxy sau khi được xác thực sẽ được làm giàu dữ liệu (IP, quốc gia, ASN) và đồng bộ hóa qua giao thức SCP đến một máy chủ hạ nguồn khác để phục vụ cho mục đích cuối cùng của kẻ tấn công, có thể là spam hoặc phishing.
Hiện tại, mục đích cụ thể của mạng lưới 230 node này vẫn chưa được xác định rõ ràng, nhưng các chuyên gia cảnh báo rằng hạ tầng này đã sẵn sàng để thực hiện các chiến dịch tấn công quy mô lớn bất cứ lúc nào.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.