كيف يسرق PCPJack بيانات الاعتماد؟

يحصد PCPJack بيانات الاعتماد المُخزَّنة في ملفات الإعداد ومتغيرات البيئة ورموز المصادقة المُخزَّنة مؤقتاً على الأنظمة المخترقة. ثم تُسرَّب هذه البيانات المسروقة إلى بنية تحتية يتحكم فيها المهاجمون.

ماذا يحدث بعد أن يسرق PCPJack بيانات الاعتماد؟

بعد تسريب بيانات الاعتماد المسروقة، يستخدمها PCPJack لمحاولة التحرك الأفقي عبر استكشاف الخدمات والأنظمة المرتبطة للحصول على وصول إضافي، مما يُتيح لعقدة واحدة مخترقة أن تتحول إلى منصة انطلاق لاختراق أوسع.

هل يستغل PCPJack ثغرات يوم الصفر؟

لا، يستغل PCPJack خمس ثغرات CVE موثّقة كانت جميعها تمتلك تصحيحات متاحة قبل نشر البرنامج الخبيث. يعتمد الإطار على الفجوة بين توافر التصحيح والتبنّي الفعلي له بدلاً من ثغرات يوم الصفر.

ما أهمية إزالة PCPJack لـ TeamPCP من الأنظمة المصابة؟

يعمل PCPJack بنشاط على إزالة تهديد منافس يُعرف بـ TeamPCP للحصول على السيطرة الحصرية على البنية التحتية المصابة. يُشير هذا السلوك إلى أن المشغّلين وراء PCPJack يتمتعون بمستوى من التطور يجعلهم يتعاملون مع الأنظمة السحابية المخترقة كأصول دائمة تستحق الدفاع عنها.

برنامج PCPJack الخبيث يستغل 5 ثغرات CVE لسرقة بيانات اعتماد السحابة

Q: ما هو PCPJack؟

PCPJack هو إطار عمل لسرقة بيانات الاعتماد تم التعرف عليه حديثاً، ينتشر عبر البنية التحتية السحابية المكشوفة من خلال تسلسل خمس ثغرات غير مُصحَّحة معاً وحصاد بيانات تسجيل الدخول على نطاق واسع. يعمل كإطار عمل معياري مبني على ستة مكوّنات بلغة Python، يتولى كل منها مرحلة مختلفة من مراحل الهجوم.

برنامج PCPJack الخبيث يستغل 5 ثغرات CVE لسرقة بيانات اعتماد السحابة

يتفشى إطار عمل سرقة بيانات الاعتماد المُعرَّف حديثاً بـ PCPJack عبر البنية التحتية السحابية المكشوفة من خلال تسلسل خمس ثغرات غير مُصحَّحة معاً، وحصاد بيانات تسجيل الدخول على نطاق واسع، والتحرك أفقياً عبر الشبكات بطريقة تشبه سلوك الديدان الكلاسيكية. وقد صنّفه الباحثون باعتباره تصعيداً خطيراً في مجال برامج سرقة بيانات اعتماد السحابة، وتمتد تداعياته إلى ما هو أبعد من المؤسسات الفردية لتطال العمال عن بُعد والمقاولين وكل من يعتمد على البيئات السحابية المشتركة.

كيف يحصد PCPJack بيانات الاعتماد السحابية ويُسرِّبها

يعمل PCPJack كإطار عمل معياري مبني على ستة مكوّنات بلغة Python، يتولى كل منها مرحلة مختلفة من مراحل الهجوم. بمجرد أن يتمكن من اختراق نظام مكشوف، يبدأ في حصاد بيانات الاعتماد المخزّنة في ملفات الإعداد ومتغيرات البيئة ورموز المصادقة المُخزَّنة مؤقتاً. وهذه هي أنواع بيانات الاعتماد التي تستخدمها الخدمات السحابية الأصلية عادةً للمصادقة بين مكوناتها، وكثيراً ما تُترك غير مشفّرة أو بحماية غير كافية في بيئات التطوير والاختبار.

بعد جمعها، تُسرَّب بيانات الاعتماد المسروقة إلى بنية تحتية يتحكم فيها المهاجمون. ما يجعل PCPJack عدوانياً بشكل خاص هو أنه لا يتوقف عند هذا الحد، إذ يستخدم بيانات الاعتماد التي حصدها لمحاولة التحرك الأفقي، مستكشفاً الخدمات والأنظمة المرتبطة للحصول على وصول إضافي. وهذا يُوجد خطراً مُتضاعفاً: إذ يمكن لعقدة واحدة مخترقة أن تتحول إلى منصة انطلاق لاختراق أوسع بكثير عبر البيئة السحابية للمؤسسة.

يعمل البرنامج الخبيث أيضاً على إزالة آثار تهديد منافس يُعرف بـ TeamPCP بشكل فعّال، مُقصياً المهاجم السابق للحصول على السيطرة الحصرية على البنية التحتية المصابة. يُشير هذا السلوك التنافسي إلى أن المشغّلين وراء PCPJack يتمتعون بمستوى من التطور يجعلهم يتعاملون مع الأنظمة السحابية كأصول دائمة تستحق الدفاع عنها.

الخدمات السحابية وثغرات CVE التي يتم استغلالها

يستهدف PCPJack البنية التحتية السحابية المكشوفة على نطاق واسع، مع التركيز على الخدمات التي يمكن الوصول إلى بيانات اعتمادها بسبب سوء التكوين أو التأخر في تطبيق التصحيحات. يستغل الإطار خمس ثغرات CVE موثّقة لاكتساب وصول أولي أو تصعيد الصلاحيات بعد الدخول إلى محيط الشبكة. وبينما لا تزال معرّفات CVE المحددة قيد التحقق الواسع عبر منشورات الأمن، يُلاحظ الباحثون أن جميع الثغرات الخمس كانت معروفة وكانت التصحيحات متاحة قبل نشر PCPJack. وهذا نمط متكرر في الهجمات التي تستهدف السحابة: لا يعتمد الجناة على ثغرات يوم الصفر بل على الفجوة بين توافر التصحيح والتبنّي الفعلي له.

تعكس هذه الديناميكية كيفية تصاعد سرقة بيانات الاعتماد في سلاسل هجمات أخرى. فقد حملة التصيد الاحتيالي التي كشفتها Microsoft واستهدفت 35,000 مستخدم عبر 13,000 مؤسسة استغلت بالمثل رموز مصادقة مخترقة، مما يُبيّن أن بيانات الاعتماد المسروقة تُشكّل مفتاحاً رئيسياً عبر الخدمات المترابطة.

لماذا تُمثّل البنية التحتية السحابية المكشوفة الثغرة الجذرية

فعالية PCPJack لا تكمن في التطور التقني بقدر ما تكمن في استغلال الفرص. كثيراً ما تُنشر البيئات السحابية بسرعة مع تأخّر إعدادات الأمان عن مواكبة الاحتياجات التشغيلية. والخدمات المواجهة للإنترنت، وأذونات حسابات الخدمة ذات النطاق غير المناسب، وبيانات الاعتماد المُخزَّنة بنص واضح داخل ملفات البيئة، كلها تخلق ظروفاً مهيّأة لاستغلالها من قِبل أدوات مثل PCPJack.

وقد ضخّم العمل عن بُعد هذا التعرض. المطوّرون والمهندسون الذين يصلون إلى وحدات تحكم السحابة من شبكات منزلية، باستخدام أجهزة شخصية، أو يتنقلون بين المشاريع دون إجراءات تسريح رسمية، جميعهم يُسهمون في توسيع سطح هجوم شاسع يصعب تدقيقه. مشكلة نظافة بيانات الاعتماد ليست جديدة، لكن PCPJack يُظهر مدى كفاءة توظيفها كسلاح على نطاق واسع حين تُقرن بالانتشار الآلي الشبيه بالديدان.

تجدر الإشارة إلى أن الهجمات التي تركّز على بيانات الاعتماد لا تستلزم أساليب اختراق الأكثر تقدماً لإحداث أضرار جسيمة. كما تبيّن في حوادث مثل اختراق الشركة التابعة لـ IBM في إيطاليا المرتبط بعمليات ترعاها الدولة، فبمجرد أن يمتلك المهاجم بيانات اعتماد صالحة، يمكنه التنقل عبر الأنظمة مع الاندماج في حركة المرور المشروعة.

الدفاعات المتعددة الطبقات: الشبكات الافتراضية الخاصة وZero Trust وإدارة بيانات الاعتماد

يتطلب الدفاع ضد تهديد مثل PCPJack معالجة كل من ناقل استغلال الثغرات ومشكلة الكشف عن بيانات الاعتماد في آنٍ واحد.

أولاً، لا يمكن التعامل مع إدارة التصحيحات للخدمات المواجهة للسحابة على أنها اختيارية أو قابلة للتأجيل. فجميع الثغرات الخمس التي يستغلها PCPJack كانت لها معالجات متاحة قبل نشر البرنامج الخبيث في البرية. الحفاظ على وتيرة تصحيح في الوقت المناسب، خاصة للخدمات المكشوفة على الإنترنت، يُقلص سطح الهجوم بشكل مباشر.

ثانياً، ينبغي للمؤسسات تدقيق كيفية تخزين بيانات الاعتماد ونطاقها داخل بيئاتها السحابية. يجب أن تتبع حسابات الخدمة مبدأ الصلاحية الدنيا، وينبغي تخزين الأسرار في خزائن مخصصة بدلاً من ملفات البيئة أو مستودعات الكود. التناوب الدوري لبيانات الاعتماد وإلغاء الرموز غير المستخدمة يُحدّ من قيمة أي شيء يتمكن PCPJack من سرقته.

ثالثاً، اعتماد نموذج أمان Zero Trust يُغيّر الافتراض الجوهري بأن حركة مرور الشبكة الداخلية موثوقة. في إطار Zero Trust، يجب مصادقة كل طلب وصول والتحقق من صلاحيته وفق سياسات محددة، سواء كان من مستخدم بشري أو حساب خدمة. تُقيّد هذه البنية بشكل كبير التحرك الأفقي الذي يعتمد عليه PCPJack لتوسيع نطاقه بعد الوصول الأولي.

أخيراً، يمكن للشبكات الافتراضية الخاصة تقليل التعرض المباشر لواجهات إدارة السحابة من خلال ضمان توجيه الوصول الإداري عبر أنفاق مُتحكَّم بها ومُصادق عليها بدلاً من اتصالات الإنترنت المفتوحة. لا يُزيل ذلك كل المخاطر، لكنه يرفع عتبة الوصول الأولي بشكل ملحوظ.

ماذا يعني هذا بالنسبة لك

إن كانت مؤسستك تشغّل أعباء عمل في السحابة، فإن PCPJack يُذكّرك بشكل مباشر بأن الخدمات المكشوفة والثغرات غير المُصحَّحة ليست مخاطر نظرية. إنها أهداف فعلية. حتى الشركات الأصغر التي تستخدم المنصات السحابية للتخزين أو التطوير أو تكاملات SaaS يمكن أن تتعرض لحصاد بيانات اعتمادها إذا لم تُراجَع التكوينات بانتظام.

بالنسبة للأفراد العاملين عن بُعد والذين يصلون إلى موارد السحابة المؤسسية، فإن الخطر مشترك. ضعف ممارسات المصادقة أو بيانات الاعتماد المُخزَّنة مؤقتاً على أجهزة شخصية يمكن أن تُصبح نقاط دخول إلى شبكات مؤسسية أكبر.

إجراءات قابلة للتطبيق:

دقّق جميع الخدمات السحابية المواجهة للإنترنت وطبّق التصحيحات المعلّقة، لا سيما تلك المتعلقة بفئات CVE الخمس التي يستهدفها PCPJack.
انقل بيانات الاعتماد ومفاتيح API خارج ملفات البيئة إلى أدوات إدارة الأسرار المخصصة.
طبّق المصادقة متعددة العوامل على جميع وصولات وحدة تحكم السحابة وحسابات الخدمة.
راجع مدى استعداد مؤسستك لتبنّي Zero Trust، لا سيما فيما يخص ضوابط التحرك الأفقي ومصادقة الخدمة إلى الخدمة.
استخدم أنفاق VPN لتقييد الوصول الإداري السحابي على مسارات شبكة مُتحكَّم بها ومُصادق عليها.

برامج سرقة بيانات اعتماد السحابة الخبيثة تزداد أتمتةً وتُسبّب أضراراً أكبر. تقييم مدى تعرّضك الآن أقل تكلفة بكثير من الاستجابة لاختراق بعد وقوعه.