Κυβερνοασφάλεια

Το Κακόβουλο Λογισμικό PCPJack Εκμεταλλεύεται 5 CVE για να Κλέψει Διαπιστευτήρια Cloud

9 Μαΐου 20265 λεπτά ανάγνωση

By Sarah Chen — CEH certified, penetration testing and network security background

Το Κακόβουλο Λογισμικό PCPJack Εκμεταλλεύεται 5 CVE για να Κλέψει Διαπιστευτήρια Cloud

Ένα νεοεντοπισμένο πλαίσιο κλοπής διαπιστευτηρίων με την ονομασία PCPJack εξαπλώνεται σε εκτεθειμένες υποδομές cloud, αλυσοδένοντας πέντε μη επιδιορθωμένες ευπάθειες, συλλέγοντας δεδομένα σύνδεσης σε μεγάλη κλίμακα και κινούμενο πλευρικά μέσω δικτύων με τρόπο που θυμίζει κλασική συμπεριφορά σκουληκιού. Οι ερευνητές το έχουν χαρακτηρίσει ως σημαντική κλιμάκωση στο κακόβουλο λογισμικό κλοπής διαπιστευτηρίων cloud, και οι επιπτώσεις εκτείνονται πολύ πέρα από μεμονωμένους οργανισμούς, αγγίζοντας απομακρυσμένους εργαζομένους, συνεργάτες και όποιον βασίζεται σε κοινόχρηστα περιβάλλοντα cloud.

Πώς το PCPJack Συλλέγει και Εξάγει Διαπιστευτήρια Cloud

Το PCPJack λειτουργεί ως ένα αρθρωτό πλαίσιο που βασίζεται σε έξι εξαρτήματα Python, το καθένα από τα οποία διαχειρίζεται μια ξεχωριστή φάση της επίθεσης. Μόλις αποκτήσει πρόσβαση σε ένα εκτεθειμένο σύστημα, αρχίζει να συλλέγει διαπιστευτήρια αποθηκευμένα σε αρχεία ρυθμίσεων, μεταβλητές περιβάλλοντος και διακριτικά αυθεντικοποίησης που έχουν αποθηκευτεί στην κρυφή μνήμη. Αυτά είναι τα είδη διαπιστευτηρίων που οι υπηρεσίες cloud χρησιμοποιούν συνήθως για την αυθεντικοποίηση μεταξύ εξαρτημάτων, και συχνά παραμένουν αναπρόσωπα ή ανεπαρκώς προστατευμένα σε περιβάλλοντα ανάπτυξης και σταδιοποίησης.

Μετά τη συλλογή, τα κλεμμένα διαπιστευτήρια εξάγονται σε υποδομή ελεγχόμενη από τους εισβολείς. Αυτό που καθιστά το PCPJack ιδιαίτερα επιθετικό είναι ότι δεν σταματά εκεί. Χρησιμοποιεί τα συλλεχθέντα διαπιστευτήρια για να επιχειρήσει πλευρική κίνηση, διερευνώντας συνδεδεμένες υπηρεσίες και συστήματα για πρόσθετη πρόσβαση. Αυτό δημιουργεί έναν συσσωρευτικό κίνδυνο: ένας μόνο παραβιασμένος κόμβος μπορεί να γίνει εφαλτήριο για μια πολύ ευρύτερη εισβολή σε ολόκληρο το περιβάλλον cloud ενός οργανισμού.

Το κακόβουλο λογισμικό αφαιρεί επίσης ενεργά τα ίχνη μιας ανταγωνιστικής απειλής που ονομάζεται TeamPCP, εκδιώκοντας ουσιαστικά έναν προηγούμενο εισβολέα για να αποκτήσει αποκλειστικό έλεγχο της μολυσμένης υποδομής. Αυτή η ανταγωνιστική συμπεριφορά σηματοδοτεί ότι οι χειριστές πίσω από το PCPJack είναι αρκετά εξελιγμένοι ώστε να αντιμετωπίζουν τα συστήματα cloud ως μόνιμα περιουσιακά στοιχεία που αξίζει να υπερασπιστούν.

Ποιες Υπηρεσίες Cloud και CVE Εκμεταλλεύεται

Το PCPJack στοχεύει εκτεθειμένες υποδομές cloud γενικότερα, εστιάζοντας σε υπηρεσίες όπου τα διαπιστευτήρια είναι προσβάσιμα λόγω εσφαλμένης ρύθμισης ή καθυστερημένης εφαρμογής επιδιορθώσεων. Το πλαίσιο εκμεταλλεύεται πέντε τεκμηριωμένα CVE για να αποκτήσει αρχική πρόσβαση ή να κλιμακώσει τα προνόμια μόλις εισέλθει σε ένα δίκτυο. Παρόλο που οι συγκεκριμένοι αναγνωριστικοί κωδικοί CVE εξακολουθούν να επαληθεύονται ευρέως σε δημοσιεύσεις ασφαλείας, οι ερευνητές επισημαίνουν ότι και οι πέντε ευπάθειες ήταν γνωστές και είχαν διαθέσιμες επιδιορθώσεις πριν από την ανάπτυξη του PCPJack. Αυτό είναι ένα επαναλαμβανόμενο μοτίβο σε επιθέσεις που στοχεύουν το cloud: οι απειλητικοί φορείς δεν βασίζονται σε εκμεταλλεύσεις μηδενικής ημέρας, αλλά στο χάσμα μεταξύ διαθεσιμότητας επιδιορθώσεων και πραγματικής εφαρμογής τους.

Αυτή η δυναμική αντικατοπτρίζει τον τρόπο με τον οποίο η κλοπή διαπιστευτηρίων κλιμακώνεται σε άλλες αλυσίδες επιθέσεων. Η εκστρατεία phishing που αποκάλυψε η Microsoft και έπληξε 35.000 χρήστες σε 13.000 οργανισμούς αξιοποίησε ομοίως παραβιασμένα διακριτικά αυθεντικοποίησης, δείχνοντας ότι τα κλεμμένα διαπιστευτήρια λειτουργούν ως κύριο κλειδί σε διασυνδεδεμένες υπηρεσίες.

Γιατί η Εκτεθειμένη Υποδομή Cloud Είναι η Βασική Ευπάθεια

Η αποτελεσματικότητα του PCPJack έχει λιγότερο να κάνει με την τεχνική πολυπλοκότητα και περισσότερο με την ευκαιρία. Τα περιβάλλοντα cloud αναπτύσσονται συχνά γρήγορα, με τις ρυθμίσεις ασφαλείας να υστερούν σε σχέση με τις επιχειρησιακές ανάγκες. Υπηρεσίες που εκτίθενται στο διαδίκτυο, δικαιώματα λογαριασμών υπηρεσιών με ανεπαρκή εύρος και διαπιστευτήρια αποθηκευμένα σε απλό κείμενο σε αρχεία περιβάλλοντος δημιουργούν συνθήκες που εργαλεία όπως το PCPJack είναι σχεδιασμένα να εκμεταλλεύονται.

Η εξ αποστάσεως εργασία έχει ενισχύσει αυτή την έκθεση. Προγραμματιστές και μηχανικοί που αποκτούν πρόσβαση σε κονσόλες cloud από οικιακά δίκτυα, χρησιμοποιώντας προσωπικές συσκευές ή εναλλάσσοντας έργα χωρίς τυπικές διαδικασίες αποχώρησης, συμβάλλουν όλοι σε μια εκτεταμένη, δύσκολη στον έλεγχο επιφάνεια επίθεσης. Το πρόβλημα υγιεινής διαπιστευτηρίων δεν είναι καινούργιο, αλλά το PCPJack δείχνει πόσο αποτελεσματικά μπορεί να χρησιμοποιηθεί ως όπλο σε μεγάλη κλίμακα όταν συνδυαστεί με αυτοματοποιημένη διάδοση παρόμοια με σκουλήκι.

Αξίζει να σημειωθεί ότι οι επιθέσεις που εστιάζουν σε διαπιστευτήρια δεν απαιτούν τις πιο προηγμένες τεχνικές εισβολής για να προκαλέσουν σοβαρή ζημιά. Όπως φάνηκε σε περιστατικά όπως η παραβίαση της θυγατρικής της IBM στην Ιταλία που συνδέθηκε με κρατικές επιχειρήσεις, μόλις ένας εισβολέας κατέχει έγκυρα διαπιστευτήρια, μπορεί να κινείται μέσα σε συστήματα ενώ συγχέεται με τη νόμιμη κυκλοφορία.

Πολυεπίπεδες Άμυνες: VPN, Zero Trust και Διαχείριση Διαπιστευτηρίων

Η άμυνα ενάντια σε μια απειλή όπως το PCPJack απαιτεί την ταυτόχρονη αντιμετώπιση τόσο του φορέα εκμετάλλευσης ευπαθειών όσο και του προβλήματος έκθεσης διαπιστευτηρίων.

Πρώτον, η διαχείριση επιδιορθώσεων για υπηρεσίες που εκτίθενται σε cloud δεν μπορεί να αντιμετωπίζεται ως προαιρετική ή αναβλητή. Και τα πέντε CVE που εκμεταλλεύεται το PCPJack είχαν διαθέσιμη αποκατάσταση πριν από την ανάπτυξη του κακόβουλου λογισμικού στο πεδίο. Η διατήρηση ενός έγκαιρου ρυθμού επιδιορθώσεων, ειδικά για υπηρεσίες εκτεθειμένες στο διαδίκτυο, μειώνει άμεσα την επιφάνεια επίθεσης.

Δεύτερον, οι οργανισμοί θα πρέπει να ελέγχουν τον τρόπο αποθήκευσης και εύρους των διαπιστευτηρίων στα περιβάλλοντα cloud τους. Οι λογαριασμοί υπηρεσιών θα πρέπει να ακολουθούν την αρχή των ελάχιστων προνομίων, και τα μυστικά θα πρέπει να αποθηκεύονται σε αποκλειστικά θησαυροφυλάκια αντί σε αρχεία περιβάλλοντος ή αποθετήρια κώδικα. Η τακτική εναλλαγή διαπιστευτηρίων και η ακύρωση αχρησιμοποίητων διακριτικών περιορίζει την αξία οτιδήποτε καταφέρει να κλέψει το PCPJack.

Τρίτον, η υιοθέτηση ενός μοντέλου ασφαλείας Zero Trust αλλάζει τη θεμελιώδη υπόθεση ότι η εσωτερική κυκλοφορία δικτύου είναι αξιόπιστη. Στο πλαίσιο του Zero Trust, κάθε αίτημα πρόσβασης, είτε από χρήστη είτε από λογαριασμό υπηρεσίας, πρέπει να αυθεντικοποιείται και να εξουσιοδοτείται βάσει καθορισμένων πολιτικών. Αυτή η αρχιτεκτονική περιορίζει σημαντικά την πλευρική κίνηση από την οποία εξαρτάται το PCPJack για να επεκτείνει την εμβέλειά του μετά την αρχική πρόσβαση.

Τέλος, τα VPN μπορούν να μειώσουν την άμεση έκθεση των διεπαφών διαχείρισης cloud, διασφαλίζοντας ότι η διαχειριστική πρόσβαση δρομολογείται μέσω ελεγχόμενων, αυθεντικοποιημένων τούνελ αντί για ανοιχτές συνδέσεις διαδικτύου. Αυτό δεν εξαλείφει όλους τους κινδύνους, αλλά ανεβάζει σημαντικά τον πήχη για την αρχική πρόσβαση.

Τι Σημαίνει Αυτό για Εσάς

Αν ο οργανισμός σας εκτελεί φόρτους εργασίας στο cloud, το PCPJack είναι μια άμεση υπενθύμιση ότι οι εκτεθειμένες υπηρεσίες και οι μη επιδιορθωμένες ευπάθειες δεν είναι αφηρημένοι κίνδυνοι. Είναι ενεργοί στόχοι. Ακόμη και μικρότερες επιχειρήσεις που χρησιμοποιούν πλατφόρμες cloud για αποθήκευση, ανάπτυξη ή ενσωματώσεις SaaS μπορεί να έχουν τα διαπιστευτήριά τους συλλεχθεί εάν οι ρυθμίσεις δεν ελέγχονται τακτικά.

Για άτομα που εργάζονται εξ αποστάσεως και αποκτούν πρόσβαση σε εταιρικούς πόρους cloud, ο κίνδυνος είναι κοινός. Αδύναμες πρακτικές αυθεντικοποίησης ή διαπιστευτήρια αποθηκευμένα στην κρυφή μνήμη προσωπικών συσκευών μπορεί να γίνουν σημεία εισόδου σε ευρύτερα εταιρικά δίκτυα.

Άμεσα συμπεράσματα:

Ελέγξτε όλες τις υπηρεσίες cloud που εκτίθενται στο διαδίκτυο και εφαρμόστε εκκρεμείς επιδιορθώσεις, ιδιαίτερα για τις πέντε κατηγορίες CVE που στοχεύει το PCPJack.
Μεταφέρετε τα διαπιστευτήρια και τα κλειδιά API έξω από τα αρχεία περιβάλλοντος και σε αποκλειστικά εργαλεία διαχείρισης μυστικών.
Εφαρμόστε πολυπαραγοντική αυθεντικοποίηση σε όλες τις κονσόλες cloud και στην πρόσβαση λογαριασμών υπηρεσιών.
Αξιολογήστε την ετοιμότητα Zero Trust του οργανισμού σας, ιδιαίτερα σε σχέση με τους ελέγχους πλευρικής κίνησης και την αυθεντικοποίηση υπηρεσία-προς-υπηρεσία.
Χρησιμοποιήστε τούνελ VPN για να περιορίσετε τη διαχειριστική πρόσβαση cloud σε αυθεντικοποιημένες, ελεγχόμενες διαδρομές δικτύου.

Το κακόβουλο λογισμικό κλοπής διαπιστευτηρίων cloud γίνεται όλο και πιο αυτοματοποιημένο και πιο καταστροφικό. Η αξιολόγηση της δικής σας έκθεσης τώρα είναι πολύ λιγότερο δαπανηρή από την αντιμετώπιση μιας παραβίασης εκ των υστέρων.

// FAQ

Τι είναι το PCPJack;

Το PCPJack είναι ένα νεοεντοπισμένο πλαίσιο κλοπής διαπιστευτηρίων που εξαπλώνεται σε εκτεθειμένες υποδομές cloud αλυσοδένοντας πέντε μη επιδιορθωμένες ευπάθειες και συλλέγοντας δεδομένα σύνδεσης σε μεγάλη κλίμακα. Λειτουργεί ως ένα αρθρωτό πλαίσιο που βασίζεται σε έξι εξαρτήματα Python, το καθένα από τα οποία διαχειρίζεται μια ξεχωριστή φάση της επίθεσης.

Πώς κλέβει διαπιστευτήρια το PCPJack;

Το PCPJack συλλέγει διαπιστευτήρια αποθηκευμένα σε αρχεία ρυθμίσεων, μεταβλητές περιβάλλοντος και διακριτικά αυθεντικοποίησης αποθηκευμένα στην κρυφή μνήμη σε παραβιασμένα συστήματα. Αυτά τα κλεμμένα διαπιστευτήρια εξάγονται στη συνέχεια σε υποδομή ελεγχόμενη από τους εισβολείς.

Τι συμβαίνει αφού το PCPJack κλέψει διαπιστευτήρια;

Μετά την εξαγωγή των κλεμμένων διαπιστευτηρίων, το PCPJack τα χρησιμοποιεί για να επιχειρήσει πλευρική κίνηση, διερευνώντας συνδεδεμένες υπηρεσίες και συστήματα για πρόσθετη πρόσβαση, επιτρέποντας σε έναν μόνο παραβιασμένο κόμβο να γίνει εφαλτήριο για μια ευρύτερη εισβολή.

Εκμεταλλεύεται το PCPJack ευπάθειες μηδενικής ημέρας;

Όχι, το PCPJack εκμεταλλεύεται πέντε τεκμηριωμένα CVE που είχαν όλα διαθέσιμες επιδιορθώσεις πριν από την ανάπτυξη του κακόβουλου λογισμικού. Το πλαίσιο βασίζεται στο χάσμα μεταξύ διαθεσιμότητας επιδιορθώσεων και πραγματικής εφαρμογής τους, αντί να χρησιμοποιεί εκμεταλλεύσεις μηδενικής ημέρας.

Ποια είναι η σημασία της αφαίρεσης του TeamPCP από τα μολυσμένα συστήματα από το PCPJack;

Το PCPJack αφαιρεί ενεργά μια ανταγωνιστική απειλή που ονομάζεται TeamPCP για να αποκτήσει αποκλειστικό έλεγχο της μολυσμένης υποδομής. Αυτή η συμπεριφορά υποδεικνύει ότι οι χειριστές πίσω από το PCPJack είναι αρκετά εξελιγμένοι ώστε να αντιμετωπίζουν παραβιασμένα συστήματα cloud ως μόνιμα περιουσιακά στοιχεία που αξίζει να υπερασπιστούν.

Το Κακόβουλο Λογισμικό PCPJack Εκμεταλλεύεται 5 CVE για να Κλέψει Διαπιστευτήρια Cloud

Πώς το PCPJack Συλλέγει και Εξάγει Διαπιστευτήρια Cloud

Ποιες Υπηρεσίες Cloud και CVE Εκμεταλλεύεται

Γιατί η Εκτεθειμένη Υποδομή Cloud Είναι η Βασική Ευπάθεια

Πολυεπίπεδες Άμυνες: VPN, Zero Trust και Διαχείριση Διαπιστευτηρίων

Τι Σημαίνει Αυτό για Εσάς

// FAQ

// Σχετικά