B
今週中
脅威アクターPCPJackが、AWS、GCP、Azure上のサーバー230台を侵害し、SMTP中継ネットワークを構築しようとしたこと
📌 一言でいうと
脅威アクターPCPJackが、AWS、GCP、Azure上のサーバー230台を侵害し、SMTP中継ネットワークを構築しようとしたことが判明しました。攻撃者はオープンソースのTCPトンネリングツール「Chisel」とC2フレームワーク「Sliver」を利用し、多様なアーキテクチャのLinuxサーバーを標的にしました。このインフラは、攻撃トラフィックを隠蔽するためのメール中継システムとして利用される目的で構築されたと考えられています。
🔍該当判定
- AWS EC2、GCP、AzureなどのクラウドサービスでLinuxサーバーを運用している
- サーバーの管理ポート(8444番や9443番など)を外部に公開している
- 自社サーバーをメール送信サーバー(SMTP中継サーバー)として利用・構築している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 外部から不必要なポート(特に8444, 9443等)へのアクセス制限を確認すること。2. SliverやChiselなどの不審なバイナリがサーバー内で動作していないか監視すること。3. SMTPトラフィックの異常な送信パターンを検知する仕組みを導入すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PCPJackによるクラウドサーバー侵害とSMTP中継網構築について
お疲れさまです。PCPJackによるクラウドインフラ悪用のキャンペーンに関する情報共有です。
■ 概要
脅威アクターPCPJackがAWS、GCP、Azure上のサーバー230台を侵害し、Sliver C2およびChiselを用いてSMTP中継ネットワークを構築していたことが報告されました。目的はメール送信トラフィックの隠蔽と考えられます。
■ 影響範囲
- AWS EC2, GCP, Azure上のLinuxサーバー(x86, Arm)
■ 対応手順
1. サーバー内における不審なプロセス(Chisel, Sliver関連)の有無を確認してください。
2. 外部からポート 8444, 9443 への不審な通信がないかログを確認してください。
3. 意図しないSMTP中継設定が有効になっていないか確認してください。
■ 参考情報
- Hunt.io 調査報告
対応優先度: 中
対応期限: 随時
お疲れさまです。PCPJackによるクラウドインフラ悪用のキャンペーンに関する情報共有です。
■ 概要
脅威アクターPCPJackがAWS、GCP、Azure上のサーバー230台を侵害し、Sliver C2およびChiselを用いてSMTP中継ネットワークを構築していたことが報告されました。目的はメール送信トラフィックの隠蔽と考えられます。
■ 影響範囲
- AWS EC2, GCP, Azure上のLinuxサーバー(x86, Arm)
■ 対応手順
1. サーバー内における不審なプロセス(Chisel, Sliver関連)の有無を確認してください。
2. 外部からポート 8444, 9443 への不審な通信がないかログを確認してください。
3. 意図しないSMTP中継設定が有効になっていないか確認してください。
■ 参考情報
- Hunt.io 調査報告
対応優先度: 中
対応期限: 随時
Subject: [Intel] PCPJack Cloud Server Compromise and SMTP Relay Network
Dear team,
We are sharing information regarding a campaign by the threat actor PCPJack targeting cloud infrastructure.
■ Overview
PCPJack has compromised 230 servers across AWS, GCP, and Azure to build an SMTP relay network using the Sliver C2 framework and Chisel tunneling tool. This infrastructure is designed to obfuscate malicious email traffic.
■ Scope
- Linux servers (x86, Arm) hosted on AWS EC2, GCP, and Azure.
■ Recommended Actions
1. Scan for unauthorized binaries or processes related to Chisel or Sliver.
2. Review network logs for suspicious traffic on ports 8444 and 9443.
3. Verify that no unauthorized SMTP relay configurations have been implemented on your servers.
■ Reference
- Hunt.io Investigation Report
Priority: Medium
Deadline: As soon as possible
Dear team,
We are sharing information regarding a campaign by the threat actor PCPJack targeting cloud infrastructure.
■ Overview
PCPJack has compromised 230 servers across AWS, GCP, and Azure to build an SMTP relay network using the Sliver C2 framework and Chisel tunneling tool. This infrastructure is designed to obfuscate malicious email traffic.
■ Scope
- Linux servers (x86, Arm) hosted on AWS EC2, GCP, and Azure.
■ Recommended Actions
1. Scan for unauthorized binaries or processes related to Chisel or Sliver.
2. Review network logs for suspicious traffic on ports 8444 and 9443.
3. Verify that no unauthorized SMTP relay configurations have been implemented on your servers.
■ Reference
- Hunt.io Investigation Report
Priority: Medium
Deadline: As soon as possible