کارزار کرم‌محور جدید زیرساخت‌های ابری را هدف گرفت

کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک کارزار گسترده و سیستماتیک خبر داده‌اند که زیرساخت‌های Cloud-Native را هدف قرار داده و با سوءاستفاده از پیکربندی‌های نادرست و آسیب‌پذیری‌های شناخته‌شده، زمینه را برای نفوذهای بعدی و سوءاستفاده‌های مجرمانه فراهم می‌کند.

به گزارش کمیته رکن چهارم، این فعالیت که از اوایل دی‌ماه ۱۴۰۴ مشاهده شده، به‌عنوان یک عملیات «کرم‌محور» توصیف می‌شود و با بهره‌گیری از APIهای در معرض Docker، کلاسترهای Kubernetes، داشبوردهای Ray، سرورهای Redis و همچنین آسیب‌پذیری بحرانی React2Shell با شناسه CVE-2025-55182 انجام می‌شود. این کارزار به یک خوشه تهدید با نام TeamPCP نسبت داده شده که با نام‌های دیگری از جمله PCPcat و ShellForce نیز شناخته می‌شود.

بررسی‌ها نشان می‌دهد TeamPCP دست‌کم از آبان ۱۴۰۴ فعال بوده و از زیرساخت‌های به‌خطر افتاده برای ایجاد یک شبکه توزیع‌شده پراکسی، اسکن گسترده اینترنت و نفوذ به سرورها استفاده می‌کند. این زیرساخت‌ها سپس برای اهداف متنوعی مانند سرقت داده، اخاذی، استخراج رمزارز و میزبانی بارهای مخرب مورد سوءاستفاده قرار می‌گیرند.

به گفته تحلیل‌گران، این گروه به‌جای تکیه بر تکنیک‌های نوظهور، از ابزارهای شناخته‌شده، آسیب‌پذیری‌های عمومی و خطاهای پیکربندی رایج استفاده می‌کند. همین رویکرد باعث شده یک پلتفرم بهره‌برداری خودکار و مقیاس‌پذیر شکل بگیرد که زیرساخت‌های در معرض را به بخشی از یک اکوسیستم مجرمانه خودانتشاردهنده تبدیل می‌کند.

پس از نفوذ اولیه، اسکریپت‌ها و بارهای مرحله بعدی مستقر می‌شوند که وظیفه آن‌ها گسترش آلودگی و شناسایی اهداف جدید است. یکی از مؤلفه‌های کلیدی این عملیات، اسکریپتی است که با شناسایی نوع محیط اجرا، به‌ویژه کلاسترهای Kubernetes، مسیرهای متفاوتی برای ماندگاری و گسترش انتخاب می‌کند؛ نشانه‌ای از تمرکز ویژه این کارزار بر زیرساخت‌های بومیِ ابر.

داده‌های تحلیلی نشان می‌دهد محیط‌های Amazon Web Services و Microsoft Azure بیشترین هدف این حملات بوده‌اند. این فعالیت‌ها عمدتاً ماهیتی فرصت‌طلبانه دارند و به‌جای تمرکز بر صنایع خاص، هر زیرساخت در معرضی را که بتواند اهداف عملیاتی گروه را پشتیبانی کند، هدف قرار می‌دهند.

در مجموع، این کارزار نشان می‌دهد تهدیدات نوین ابری لزوماً به نوآوری فنی متکی نیستند، بلکه با یکپارچگی عملیاتی، اتوماسیون و مقیاس بالا می‌توانند ریسک قابل‌توجهی برای سازمان‌هایی ایجاد کنند که از فناوری‌های Cloud-Native استفاده می‌کنند.