เตือนภัย! PCPJack "หนอนไซเบอร์" สายพันธุ์ดุ บุกยึดคลาวด์-ไล่ลบข้อมูลคู่แข่ง

 

นักวิจัยจาก SentinelOne เพิ่งจะออกมาเปิดเผยรายละเอียดของมัลแวร์ตัวใหม่แกะกล่องชื่อว่า "PCPJack" ครับ เจ้านี้ไม่ได้มาเล่นๆ เพราะมันถูกออกแบบมาเพื่อโจมตีโครงสร้างพื้นฐานบน Cloud โดยเฉพาะ ไม่ว่าจะเป็น Docker, Kubernetes, Redis หรือแม้แต่ระบบ AI อย่าง RayML

มันทำงานยังไง?

ความร้ายกาจของ PCPJack  คือการทำงานแบบ "Worm-like" หรือเหมือนหนอนที่แพร่กระจายตัวเองได้อัตโนมัติ โดยอาศัยช่องโหว่ความปลอดภัย (CVE) ถึง 5 จุดในการเจาะระบบพอมันเข้าไปได้แล้ว มันจะทำหน้าที่เป็น "นักรูดทรัพย์" ดิจิทัล ดังนี้ครับ

1. ขโมยรหัสผ่าน: ไล่เก็บข้อมูล Credentials ทั้งจากระบบคลาวด์, ตู้คอนเทนเนอร์, บริการทางการเงิน ไปจนถึงเครื่องมือของเหล่านักพัฒนา
2. ลบเพื่อนบ้าน: จุดที่น่าสนใจคือ ถ้ามันเจอไฟล์หรือร่องรอยของแฮกเกอร์กลุ่ม TeamPCP (ซึ่งเป็นกลุ่มดังที่อาละวาดก่อนหน้านี้) มันจะสั่งลบทิ้งทันที เหมือนเป็นการ "ยึดสัมปทาน" พื้นที่เหยื่อมาเป็นของตัวเองคนเดียว
3. ส่งข้อมูลผ่าน Telegram: ข้อมูลที่ขโมยมาได้จะถูกเข้ารหัสและส่งกลับไปหาแฮกเกอร์ผ่านแอปยอดฮิตอย่าง Telegram ครับ

เจาะลึกชุดเครื่องมือแสบ

PCPJack ประกอบด้วยสคริปต์ Python หลายตัวที่ทำงานประสานกัน เช่น

• worm.py: ตัวบงการหลักที่ใช้เจาะช่องโหว่ (เช่น CVE-2025-55182 และอื่นๆ) เพื่อขยายพันธ์ุ
• lateral.py: ตัวช่วยในการเคลื่อนที่ไปรอบๆ เครือข่าย (Lateral Movement)
• cloud_scan.py: คอยสแกนหาเป้าหมายใหม่ๆ ใน AWS, Azure และ Google Cloud

ทำไมต้องระวัง?

นักวิจัยมองว่า เป้าหมายหลักของมันคือ "เงิน" ครับ แม้มันจะไม่ได้ฝังโปรแกรมขุดเหรียญคริปโต (Crypto Mining) เหมือนกลุ่มอื่นๆ แต่การขโมยสิทธิ์เข้าถึง (Access) ไม่ขายต่อ หรือการขโมยข้อมูลสำคัญเพื่อนำไปกรรโชกทรัพย์นั้น สร้างความเสียหายมหาศาลกว่ามาก

ที่สำคัญคือมันรู้จักใช้ข้อมูลจาก Common Crawl (ฐานข้อมูลเว็บสาธารณะ) มาเป็นลายแทงในการหาเหยื่อ ทำให้มันสามารถสุ่มโจมตีเป้าหมายใหม่ๆ ได้ตลอดเวลา

ใครที่ดูแลระบบ Cloud หรือใช้ Docker/Kubernetes อยู่ อย่าลืมอัปเดตแพตซ์ความปลอดภัยด่วนๆ โดยเฉพาะช่องโหว่ที่ระบุในข่าว เพราะ "หนอน" ตัวนี้มันจ้องจะเล่นคุณอยู่ครับ