เตือนภัย! เวิร์ม TeamPCP บุกทะลวง Cloud ทั่วโลก เปลี่ยนเซิร์ฟเวอร์บริษัทให้กลายเป็นฐานทัพไซเบอร์โจร

 

ล่าสุดทีมนักวิจัยด้านความปลอดภัยตรวจพบการแพร่ระบาดอย่างหนักของกลุ่มแฮกเกอร์ที่เรียกตัวเองว่า "TeamPCP" ที่กำลังออกอาละวาดไล่ล่าเจาะระบบ Cloud Native ทั่วโลก เพื่อใช้เป็นฐานลับในการทำเรื่องผิดกฎหมายครับ

กลุ่ม TeamPCP คือใคร?

กลุ่มนี้มีชื่อเรียกหลายชื่อครับ ไม่ว่าจะเป็น DeadCatx3, PCPcat หรือ ShellForce เริ่มมีบทความเคลื่อนไหวตั้งแต่ช่วงปลายปี 2025 ที่ผ่านมาโดยใช้ช่องทาง Telegram เป็นที่ซ่องสุมและปล่อยข้อมูลที่ขโมยมาได้จากเหยื่อในหลายประเทศ เช่น สหรัฐฯ, เกาหลีให้ และแคนาดา

แผนการร้าย "ยึด Cloud มาสร้างอาณาจักรอาชญากรรม"

ความน่ากลัวของ TeamPCP ไม่ใช่เทคนิคที่ล้ำลึกอะไรครับ แต่มันคือ "ความรวดเร็วและเป็นระบบ" โดยพวกเขาจะใช้ "เวิร์ม (Worm) หรือโปรแกรมที่แพร่กระจายตัวเองได้อัตโนมัติ ออกไปสแกนหาช่องโหว่บนอินเทอร์เน็ต ดังนี้

• เป้าหมายหลัก: ระบบ Docker, Kubernetes, Redis และช่องโหว่ใหม่ล่าสุดใน React (CVE-2025-55182) ที่มีระดับรุนแรงเต็ม 10
• เมื่อเจาะได้แล้วทำอะไร?

1. ขุดเหรียญ (Crypto Mining): แอบใช้ทรัพยากรเครื่องเราขุดเงินเข้ากระเป๋าตัวเอง
2. สร้าง Proxy: เปลี่ยนเซิร์ฟเวอร์เหยื่อให้กลายเป็นทางผ่านเพื่อไปโจมตีคนอื่นต่อ (ทำให้ตามตัวยากขึ้น)
3. ขโมยข้อมูล: ดึงข้อมูลสำคัญออกไปเรียกค่าไถ่ หรือประจานบน Telegram
4. ฝังตัวยาวๆ: สร้างช่องทางลับ (Backdoor) เอาไว้กลับเข้ามาได้ทุกเมื่อ

วิธีการที่ชาญฉลาด (และอันตราย)

นักวิจัยพบว่าสคริปต์ของมันที่ชื่อ "proxy.sh" ฉลาดมากครับ พอมันเข้าไปในเครื่องเหยื่อได้ มันจะเช็คก่อนเลยว่าเครื่องนี้เป็นระบบ kubernetes หรือไม่? ถ้าใช่ มันจะปล่อยชุดเครื่องมือเฉพาะทางออกมาจัดการเพื่อควบคุม "ทั้งคลัสเตอร์" ทันที

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก