PCPJack SMTP proxyhálózata
A Hunt.io kutatói feltárták, hogy a PCPJack aktor legalább 230 kompromittált AWS-, Google Cloud- és Microsoft Azure-szerverből álló rejtett SMTP proxyhálózatot épített ki. Az infrastruktúra célja nem közvetlen adatlopás volt, hanem egy nagyméretű, folyamatosan frissülő e-mail továbbító hálózat működtetése, amely spam- vagy adathalász kampányok kiszolgálására alkalmas.
A műveletre azért derült fény, mert a támadók egy internet felől elérhető C2-szerveren hitelesítés nélkül hagyták elérhetővé teljes eszközkészletüket, beleértve a forráskódokat, telepítési naplókat és a Sliver C2 konfigurációját. A kompromittált Linux-szervereken a támadók Chisel alagutakat és SOCKS5 proxykat hoztak létre, majd automatikusan ellenőrizték, hogy az adott gép képes-e SMTP-forgalom továbbítására. Az érvényes proxyk listáját ötpercenként szinkronizálták egy külön kiszolgálóra.
A kutatás szerint a malware rejtett .xs állományként települt a /var/tmp könyvtárba, és cron vagy systemd mechanizmusokkal biztosította a perzisztenciát. A kompromittált felhőszerverek egyre gyakrabban szolgálnak támadói infrastruktúraként, nem pedig közvetlen célpontként.
