bytedaily - Dilansir dari techcrunch.com, sebuah kampanye peretasan yang tidak biasa telah teridentifikasi, di mana sekelompok peretas yang tidak dikenal menargetkan sistem yang sebelumnya telah dikompromikan oleh kelompok peretas lain yang dikenal sebagai TeamPCP. Menurut laporan dari perusahaan keamanan siber SentinelOne, setelah berhasil masuk ke sistem-sistem tersebut, para peretas baru ini segera mengusir anggota TeamPCP dan menghapus alat-alat mereka.
Selanjutnya, para peretas memanfaatkan akses yang diperoleh untuk menyebarkan kode yang dirancang untuk mereplikasi diri di berbagai infrastruktur cloud, mencuri berbagai jenis kredensial, dan mengirimkan data curian kembali ke infrastruktur mereka. TeamPCP sendiri merupakan kelompok kriminal siber yang baru-baru ini menjadi sorotan karena serangkaian peretasan besar, termasuk pelanggaran infrastruktur cloud Komisi Eropa dan serangan siber terhadap alat pemindai kerentanan Trivvy.
Alex Delamotte, seorang peneliti senior di SentinelOne yang menemukan kampanye peretasan baru ini dan menamainya "PCPJack", menyatakan bahwa identitas pelaku di balik serangan ini belum jelas. Tiga teori yang diajukan adalah bahwa pelaku adalah mantan anggota TeamPCP yang tidak puas, bagian dari kelompok saingan, atau pihak ketiga yang meniru alat serangan TeamPCP. Delamotte menambahkan bahwa layanan yang ditargetkan oleh PCPJack sangat mirip dengan kampanye TeamPCP pada Desember-Januari, sebelum dugaan perubahan keanggotaan kelompok tersebut.
Selain menargetkan sistem yang diretas oleh TeamPCP, para peretas ini juga memindai internet untuk layanan yang terbuka, seperti platform cloud mesin virtual Docker dan database MongoDB. Namun, fokus utama mereka tampaknya tetap pada penargetan TeamPCP. Alat peretas PCPJack bahkan mencatat jumlah target yang berhasil mereka kuasai dari TeamPCP dan mengirimkan informasi tersebut ke infrastruktur mereka.
Tujuan utama peretas PCPJack tampaknya murni finansial. Mereka mencuri kredensial dengan fokus untuk memonetisasinya, baik dengan menjualnya kembali, menjual akses ke sistem yang diretas sebagai broker akses awal, atau dengan memeras korban secara langsung. Delamotte mencatat bahwa para peretas ini tidak mencoba menginstal perangkat lunak penambangan kripto, kemungkinan karena strategi tersebut membutuhkan waktu lebih lama untuk menghasilkan keuntungan.
Dalam beberapa serangan mereka, para peretas menggunakan domain yang menyerupai upaya phishing untuk mencuri kredensial pengelola kata sandi dan menggunakan situs web layanan bantuan palsu.
Sumber asli: Artikel ini disadur dari publikasi techcrunch.com.
