นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงแคมเปญขนาดใหญ่ที่เรียกว่า “worm-driven” ซึ่งมีเป้าหมายที่สภาพแวดล้อมคลาวด์เนทีฟ (cloud native environments) เพื่อสร้างโครงสร้างพื้นฐานที่เป็นอันตรายสำหรับการโจมตีต่อเนื่อง แคมเปญนี้ซึ่งสังเกตเห็นเมื่อประมาณวันที่ 25 ธันวาคม 2025 ถูกดำเนินการโดยกลุ่มที่เรียกว่า TeamPCP (หรือ DeadCatx3, PCPcat, PersyPCP และ ShellForce) โดยใช้ประโยชน์จาก Docker APIs, Kubernetes clusters, Ray dashboards และ Redis servers ที่ถูกเปิดเผย รวมถึงช่องโหว่ React2Shell (CVE-2025-55182) ที่เพิ่งเปิดเผยไป เป้าหมายหลักคือการสร้างโครงสร้างพื้นฐานพร็อกซีและสแกน เพื่อขโมยข้อมูล, การเรียกค่าไถ่ (ransomware), การขู่กรรโชก, และการขุดคริปโทเคอร์เรนซี.
Severity: วิกฤต
System Impact:
- Docker APIs
- Kubernetes clusters
- Ray dashboards
- Redis servers
- React/Next.js applications (ช่องโหว่ React2Shell, CVE-2025-55182)
- Amazon Web Services (AWS)
- Microsoft Azure environments
Technical Attack Steps:
- การเข้าถึงเบื้องต้น: ใช้ประโยชน์จาก Docker APIs, Kubernetes APIs, Ray dashboards, Redis servers ที่เปิดเผย และช่องโหว่ React2Shell (CVE-2025-55182) เพื่อเจาะเข้าสู่โครงสร้างพื้นฐานคลาวด์
- การติดตั้งเวิร์มและเพย์โหลด: ปรับใช้สคริปต์ ‘worm-driven’ จากเซิร์ฟเวอร์ภายนอก ซึ่งรวมถึงสคริปต์ shell-based และ Python-based
- การสร้างโครงสร้างพื้นฐานอาชญากรรม: สคริปต์หลัก ‘proxy.sh’ จะติดตั้งยูทิลิตีพร็อกซี, peer-to-peer (P2P) และ tunneling พร้อมทั้งส่งมอบเครื่องมือสแกนเพื่อค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่และตั้งค่าผิดพลาดอย่างต่อเนื่อง
- การตรวจสอบสภาพแวดล้อมเฉพาะ: ‘proxy.sh’ จะทำการตรวจสอบว่ากำลังรันอยู่ในคลัสเตอร์ Kubernetes หรือไม่ และหากตรวจพบ จะเปลี่ยนไปใช้เพย์โหลดเฉพาะคลัสเตอร์ (‘kube.py’)
- การขยายการเข้าถึงใน Kubernetes: ‘kube.py’ จะรวบรวมข้อมูลรับรองคลัสเตอร์, ค้นพบ Pods และ Namespaces ผ่าน API และติดตั้ง ‘proxy.sh’ ลงใน Pods ที่สามารถเข้าถึงได้ เพื่อขยายการแพร่กระจายและสร้าง backdoor ถาวรโดยการปรับใช้ Pods แบบ privileged บนทุกโหนด
- การโจมตีเพิ่มเติม: ใช้โครงสร้างพื้นฐานที่ถูกบุกรุกเพื่อขุดคริปโทเคอร์เรนซี, โฮสต์ข้อมูล, เป็นรีเลย์ Command-and-Control (C2) และดำเนินการขโมยข้อมูล, แรนซัมแวร์ และการขู่กรรโโชก
- การใช้ช่องโหว่ React: ‘react.py’ ถูกออกแบบมาเพื่อใช้ประโยชน์จากช่องโหว่ React flaw (CVE-2025-29927) เพื่อให้สามารถรันคำสั่งจากระยะไกลได้ในวงกว้าง
Recommendations:
Short Term:
- อัปเดตแพตช์ทันที: ตรวจสอบและอัปเดตแพตช์สำหรับช่องโหว่ React2Shell (CVE-2025-55182) และช่องโหว่อื่นๆ ที่เกี่ยวข้องโดยเร็วที่สุด
- ตรวจสอบและจำกัดการเข้าถึง API: ตรวจสอบให้แน่ใจว่า Docker APIs, Kubernetes APIs, Ray dashboards และ Redis servers ไม่ได้ถูกเปิดเผยสู่สาธารณะโดยไม่จำเป็น และจำกัดการเข้าถึงด้วย Firewall หรือ Security Group
- เฝ้าระวังกิจกรรมที่น่าสงสัย: ตรวจสอบล็อกกิจกรรมบนสภาพแวดล้อมคลาวด์อย่างใกล้ชิด เพื่อตรวจจับสัญญาณของการบุกรุกหรือการติดตั้งเพย์โหลดที่ไม่ได้รับอนุญาต
- แยกส่วนงาน: แยกส่วนงานของระบบให้ชัดเจน เพื่อลดผลกระทบหากมีการบุกรุกเกิดขึ้น
Long Term:
- ใช้หลักการ Zero Trust: บังคับใช้หลักการ Zero Trust เพื่อให้แน่ใจว่ามีการตรวจสอบสิทธิ์และอนุญาตการเข้าถึงอย่างเข้มงวด สำหรับทุกการเชื่อมต่อและทรัพยากร
- การจัดการช่องโหว่และการตั้งค่าที่ปลอดภัย: ดำเนินการสแกนช่องโหว่และการตรวจสอบการตั้งค่าผิดพลาดอย่างสม่ำเสมอในสภาพแวดล้อมคลาวด์และแอปพลิเคชัน
- เสริมความแข็งแกร่งในการควบคุมการเข้าถึง: ใช้ Multi-Factor Authentication (MFA) และหลักการ Least Privilege สำหรับทุกบัญชีผู้ใช้ โดยเฉพาะอย่างยิ่งบัญชีที่มีสิทธิ์สูง
- การฝึกอบรมบุคลากร: ให้ความรู้แก่ทีมงานด้านความปลอดภัยและนักพัฒนาเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยของระบบคลาวด์เนทีฟ
- แผนรับมือเหตุการณ์: พัฒนาและทดสอบแผนรับมือเหตุการณ์ (Incident Response Plan) สำหรับการโจมตีระบบคลาวด์
- ระบบตรวจจับและป้องกันขั้นสูง: ลงทุนในโซลูชันด้านความปลอดภัยที่สามารถตรวจจับและป้องกันภัยคุกคามเฉพาะสำหรับสภาพแวดล้อมคลาวด์เนทีฟ เช่น Cloud Workload Protection Platforms (CWPP) หรือ Cloud Security Posture Management (CSPM)
Source: https://thehackernews.com/2026/02/teampcp-worm-exploits-cloud.html
Share this content: