Saldırının Genel Çerçevesi
2025 yılının son çeyreğinde ortaya çıkan TeamPCP adlı tehdit aktörü, özellikle bulut tabanlı altyapıları hedef alan gelişmiş bir solucan kampanyası yürütüyor. Kasım 2025’ten itibaren aktif olduğu bilinen grup, Docker API’leri, Kubernetes kümeleri, Ray panoları ve Redis sunucularındaki yaygın yanlış yapılandırmaları istismar ediyor. Ayrıca, kritik React2Shell (CVE-2025-55182) güvenlik açığını kullanarak uzaktan komut yürütme gerçekleştiriyor. Bu yöntemlerle ele geçirilen sistemler, proxy, kripto para madenciliği, veri barındırma ve komut kontrol (C2) röleleri gibi çeşitli amaçlarla kullanılıyor.
Hangi Sistemler Risk Altında?
TeamPCP, özellikle Amazon Web Services (AWS) ve Microsoft Azure gibi büyük bulut sağlayıcılarının ortamlarını hedef alıyor. Yanlış yapılandırılmış Docker API’leri, Kubernetes API’leri, Ray panoları ve savunmasız React/Next.js uygulamaları, ana enfeksiyon vektörleri olarak öne çıkıyor. Grup, Kanada, Sırbistan, Güney Kore, Birleşik Arap Emirlikleri ve ABD’deki çeşitli kurbanlardan çalınan verileri Telegram kanalı üzerinden yayımlıyor. Bu saldırılar fırsatçı nitelikte olup, belirli sektörlere değil, hedef altyapıların zafiyetlerine odaklanıyor.
Saldırı Zinciri ve Teknik Detaylar
Kampanya, otomatikleştirilmiş ve endüstrileştirilmiş bir istismar platformu olarak işliyor. Başlıca bileşenler şunlar:
- proxy.sh: Proxy, P2P ve tünelleme araçlarını kurarak interneti sürekli olarak savunmasız sunucular için tarıyor. Kubernetes ortamı tespit edilirse, ayrı bir yürütme yoluna girerek kalıcı arka kapılar bırakıyor.
- scanner.py: Yanlış yapılandırılmış Docker API’leri ve Ray panolarını keşfediyor, kripto para madenciliği için “mine.sh” betiğini içeriyor.
- kube.py: Kubernetes’e özgü işlevlerle küme kimlik bilgilerini topluyor, pod ve namespace kaynaklarını keşfediyor, kalıcı arka kapılar kuruyor.
- react.py: React açığını (CVE-2025-29927) kullanarak uzaktan komut yürütme sağlıyor.
- pcpcat.py: Geniş IP aralıklarında açığa çıkmış Docker API’leri ve Ray panolarını tarayıp Base64 kodlu kötü amaçlı konteynerler dağıtıyor.
Komuta kontrol sunucusu olarak Sliver açık kaynaklı C2 çerçevesi kullanılıyor. Bu yapı, saldırganların post-eksplozisyon aşamasında esnek hareket etmesine olanak tanıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Bulut ortamlarında Docker ve Kubernetes API erişimlerini sıkı şekilde sınırlandırın ve erişim kontrollerini IAM politikalarıyla yönetin.
- React ve Next.js uygulamalarını düzenli olarak güncelleyerek CVE-2025-55182 gibi kritik zafiyetleri kapatın.
- EDR ve SIEM çözümlerinde proxy.sh ve benzeri betiklerin davranışlarını tespit edecek kurallar oluşturun.
- Yanlış yapılandırılmış bulut kaynaklarını düzenli olarak tarayın ve ağ segmentasyonu ile kritik servisleri izole edin.
- Olay müdahale süreçlerini bulut ortamlarına uyarlayarak hızlı tespit ve izolasyon sağlayın.
- Kripto para madenciliği aktivitesi gibi anormal kaynak kullanımlarını izleyin ve otomatik uyarılar kurun.
- Telegram ve benzeri platformlarda yayılan veri sızıntılarına karşı tehdit istihbaratını takip edin.
Teknik Özet
- Kullanılan araçlar: proxy.sh, scanner.py, kube.py, react.py, pcpcat.py, Sliver C2 çerçevesi
- Hedefler: AWS ve Azure bulut ortamları, yanlış yapılandırılmış Docker API’leri, Kubernetes kümeleri, Ray panoları, Redis sunucuları, React/Next.js uygulamaları
- Kritik zafiyetler: CVE-2025-55182 (React2Shell, CVSS 10.0), CVE-2025-29927 (React uzaktan komut yürütme)
- Saldırı zinciri: Bulut ortamlarının keşfi → Yanlış yapılandırmaların istismarı → Komut kontrol sunucusuna bağlantı → Veri hırsızlığı, kripto madenciliği ve proxy ağı kurulumu
- Önerilen savunma: Güvenlik yamalarının uygulanması, IAM ve ağ segmentasyonu, EDR ve SIEM ile anomali tespiti, düzenli güvenlik taramaları
TeamPCP’nin operasyonel ölçeği ve otomasyon seviyesi, modern bulut altyapılarının güvenlik açıklarını istismar eden karmaşık bir suç ekosistemi oluşturduğunu gösteriyor. Bu durum, bulut güvenliği ve olay müdahale süreçlerinin yeniden gözden geçirilmesini zorunlu kılıyor.