มัลแวร์ PCPJack ใช้ช่องโหว่ 5 CVE เพื่อขโมยข้อมูลรับรองตัวตนบนคลาวด์
กรอบการโจมตีเพื่อขโมยข้อมูลรับรองตัวตนที่เพิ่งถูกระบุ ชื่อว่า PCPJack กำลังแพร่กระจายไปทั่วโครงสร้างพื้นฐานคลาวด์ที่เปิดรับอยู่ โดยการเชื่อมโยงช่องโหว่ที่ยังไม่ได้รับการแก้ไขห้ารายการเข้าด้วยกัน เก็บเกี่ยวข้อมูลการเข้าสู่ระบบในวงกว้าง และเคลื่อนที่ผ่านเครือข่ายในลักษณะที่คล้ายกับพฤติกรรมของเวิร์มแบบดั้งเดิม นักวิจัยได้ระบุว่ามัลแวร์นี้เป็นการยกระดับที่สำคัญในด้านมัลแวร์ขโมยข้อมูลรับรองตัวตนบนคลาวด์ และผลกระทบขยายออกไปเกินกว่าองค์กรแต่ละแห่ง ไปถึงพนักงานทางไกล ผู้รับเหมา และทุกคนที่พึ่งพาสภาพแวดล้อมคลาวด์ที่ใช้ร่วมกัน
วิธีที่ PCPJack เก็บเกี่ยวและขโมยข้อมูลรับรองตัวตนบนคลาวด์
PCPJack ทำงานในรูปแบบกรอบโมดูลาร์ที่สร้างขึ้นจากองค์ประกอบ Python หกส่วน แต่ละส่วนจัดการขั้นตอนการโจมตีที่แตกต่างกัน เมื่อมันได้รับจุดยึดบนระบบที่เปิดรับ มันจะเริ่มเก็บเกี่ยวข้อมูลรับรองตัวตนที่จัดเก็บไว้ในไฟล์การกำหนดค่า ตัวแปรสภาพแวดล้อม และโทเค็นการตรวจสอบสิทธิ์ที่แคชไว้ สิ่งเหล่านี้คือข้อมูลรับรองตัวตนประเภทที่บริการ cloud-native มักใช้เพื่อตรวจสอบสิทธิ์ระหว่างองค์ประกอบ และมักถูกทิ้งไว้โดยไม่เข้ารหัสหรือได้รับการปกป้องไม่เพียงพอในสภาพแวดล้อมการพัฒนาและการทดสอบ
หลังจากการรวบรวม ข้อมูลรับรองตัวตนที่ถูกขโมยจะถูกส่งออกไปยังโครงสร้างพื้นฐานที่อยู่ภายใต้การควบคุมของผู้โจมตี สิ่งที่ทำให้ PCPJack มีความก้าวร้าวเป็นพิเศษคือมันไม่หยุดอยู่แค่นั้น มันใช้ข้อมูลรับรองตัวตนที่เก็บเกี่ยวได้เพื่อพยายามเคลื่อนที่ไปทางข้าง โดยสำรวจบริการและระบบที่เชื่อมต่อเพื่อหาการเข้าถึงเพิ่มเติม สิ่งนี้สร้างความเสี่ยงแบบทบต้น: โหนดที่ถูกบุกรุกเพียงหนึ่งแห่งสามารถกลายเป็นจุดปล่อยการโจมตีสำหรับการบุกรุกที่กว้างขวางกว่ามากในสภาพแวดล้อมคลาวด์ขององค์กร
มัลแวร์นี้ยังลบร่องรอยของภัยคุกคามคู่แข่งที่เรียกว่า TeamPCP อย่างแข็งขัน โดยขับไล่ผู้โจมตีก่อนหน้าออกเพื่อให้ได้การควบคุมเฉพาะบนโครงสร้างพื้นฐานที่ติดเชื้อ พฤติกรรมการแข่งขันนี้บ่งชี้ว่าผู้ปฏิบัติการเบื้องหลัง PCPJack มีความซับซ้อนเพียงพอที่จะถือว่าระบบคลาวด์เป็นทรัพย์สินถาวรที่คุ้มค่าแก่การปกป้อง
บริการคลาวด์และ CVE ใดที่กำลังถูกใช้ประโยชน์
PCPJack มุ่งเป้าไปที่โครงสร้างพื้นฐานคลาวด์ที่เปิดรับในวงกว้าง โดยเน้นไปที่บริการที่ข้อมูลรับรองตัวตนสามารถเข้าถึงได้เนื่องจากการกำหนดค่าผิดพลาดหรือการแพตช์ที่ล่าช้า กรอบดังกล่าวใช้ประโยชน์จาก CVE ที่ได้รับการบันทึกไว้ห้ารายการเพื่อสร้างการเข้าถึงเริ่มต้นหรือยกระดับสิทธิ์เมื่ออยู่ภายในขอบเขตเครือข่าย แม้ว่าตัวระบุ CVE เฉพาะจะยังอยู่ระหว่างการตรวจสอบอย่างกว้างขวางในสิ่งพิมพ์ด้านความปลอดภัย นักวิจัยระบุว่าช่องโหว่ทั้งห้ารายการนั้นเป็นที่รู้จักและมีแพตช์ให้ใช้งานก่อนการปรับใช้ PCPJack รูปแบบนี้เกิดขึ้นซ้ำๆ ในการโจมตีที่มุ่งเป้าไปที่คลาวด์: ผู้คุกคามไม่ได้พึ่งพาการใช้ประโยชน์จากช่องโหว่ zero-day แต่พึ่งพาช่องว่างระหว่างความพร้อมใช้งานของแพตช์และการนำแพตช์ไปใช้จริง
พลวัตนี้สะท้อนให้เห็นว่าการขโมยข้อมูลรับรองตัวตนยกระดับขึ้นในห่วงโซ่การโจมตีอื่นๆ อย่างไร แคมเปญฟิชชิ่งที่ Microsoft เปิดเผยซึ่งมุ่งเป้าผู้ใช้ 35,000 รายใน 13,000 องค์กร ก็ใช้ประโยชน์จากโทเค็นการตรวจสอบสิทธิ์ที่ถูกบุกรุกในลักษณะเดียวกัน แสดงให้เห็นว่าข้อมูลรับรองตัวตนที่ถูกขโมยทำหน้าที่เป็นกุญแจหลักในการเข้าถึงบริการที่เชื่อมต่อกัน
เหตุใดโครงสร้างพื้นฐานคลาวด์ที่เปิดรับจึงเป็นช่องโหว่หลัก
ประสิทธิภาพของ PCPJack ไม่ได้เกี่ยวกับความซับซ้อนทางเทคนิคมากนัก แต่เกี่ยวกับโอกาสมากกว่า สภาพแวดล้อมคลาวด์มักถูกปรับใช้อย่างรวดเร็ว โดยการกำหนดค่าความปลอดภัยตามหลังความต้องการด้านการปฏิบัติงาน บริการที่หันหน้าสู่อินเทอร์เน็ต การกำหนดขอบเขตสิทธิ์บัญชีบริการที่ไม่เหมาะสม และข้อมูลรับรองตัวตนที่จัดเก็บในรูปแบบข้อความธรรมดาภายในไฟล์สภาพแวดล้อม ล้วนสร้างเงื่อนไขที่เครื่องมืออย่าง PCPJack ถูกสร้างมาเพื่อใช้ประโยชน์
การทำงานทางไกลได้ขยายการเปิดรับนี้ นักพัฒนาและวิศวกรที่เข้าถึงคอนโซลคลาวด์จากเครือข่ายที่บ้าน ใช้อุปกรณ์ส่วนตัว หรือหมุนเวียนระหว่างโปรเจกต์โดยไม่มีขั้นตอน offboarding อย่างเป็นทางการ ล้วนมีส่วนทำให้เกิดพื้นผิวการโจมตีที่กระจัดกระจายและยากต่อการตรวจสอบ ปัญหาสุขอนามัยข้อมูลรับรองตัวตนไม่ใช่เรื่องใหม่ แต่ PCPJack แสดงให้เห็นว่ามันสามารถถูกใช้เป็นอาวุธในวงกว้างได้อย่างมีประสิทธิภาพเพียงใด เมื่อรวมกับการแพร่กระจายแบบอัตโนมัติที่คล้ายเวิร์ม
ควรสังเกตว่าการโจมตีที่เน้นข้อมูลรับรองตัวตนไม่จำเป็นต้องใช้เทคนิคการบุกรุกขั้นสูงที่สุดเพื่อก่อให้เกิดความเสียหายร้ายแรง ดังที่เห็นในเหตุการณ์อย่าง การละเมิดของบริษัทย่อย IBM Italy ที่เชื่อมโยงกับปฏิบัติการที่ได้รับการสนับสนุนจากรัฐ เมื่อผู้โจมตีถือข้อมูลรับรองตัวตนที่ถูกต้อง พวกเขาสามารถเคลื่อนที่ผ่านระบบโดยปะปนกับการรับส่งข้อมูลที่ถูกต้องตามกฎหมาย
การป้องกันแบบหลายชั้น: VPN, Zero Trust และการจัดการข้อมูลรับรองตัวตน
การป้องกันภัยคุกคามอย่าง PCPJack ต้องการการจัดการทั้งช่องทางการใช้ประโยชน์จากช่องโหว่และปัญหาการเปิดเผยข้อมูลรับรองตัวตนพร้อมกัน
ประการแรก การจัดการแพตช์สำหรับบริการที่หันหน้าสู่คลาวด์ไม่สามารถถูกมองว่าเป็นสิ่งเสริมหรือเลื่อนออกไปได้ CVE ทั้งห้ารายการที่ PCPJack ใช้ประโยชน์ ล้วนมีการแก้ไขพร้อมใช้งานก่อนที่มัลแวร์จะถูกปรับใช้ในธรรมชาติ การรักษาตารางการแพตช์ที่ทันเวลา โดยเฉพาะสำหรับบริการที่เปิดรับอินเทอร์เน็ต ช่วยลดพื้นผิวการโจมตีได้โดยตรง
ประการที่สอง องค์กรควรตรวจสอบวิธีการจัดเก็บและกำหนดขอบเขตข้อมูลรับรองตัวตนภายในสภาพแวดล้อมคลาวด์ บัญชีบริการควรปฏิบัติตามหลักการสิทธิ์น้อยที่สุด และความลับควรถูกจัดเก็บใน vault เฉพาะแทนที่จะเป็นไฟล์สภาพแวดล้อมหรือ code repository การหมุนเวียนข้อมูลรับรองตัวตนอย่างสม่ำเสมอและยกเลิกโทเค็นที่ไม่ได้ใช้งาน ช่วยจำกัดมูลค่าของสิ่งที่ PCPJack จัดการขโมยได้
ประการที่สาม การนำ โมเดลความปลอดภัย Zero Trust มาใช้จะเปลี่ยนสมมติฐานพื้นฐานที่ว่าการรับส่งข้อมูลภายในเครือข่ายน่าเชื่อถือ ภายใต้ Zero Trust ทุกคำขอการเข้าถึง ไม่ว่าจะมาจากผู้ใช้งานหรือบัญชีบริการ ต้องได้รับการตรวจสอบสิทธิ์และการอนุมัติตามนโยบายที่กำหนดไว้ สถาปัตยกรรมนี้จำกัดการเคลื่อนที่ไปทางข้างที่ PCPJack พึ่งพาเพื่อขยายการเข้าถึงหลังจากการเข้าถึงเริ่มต้นได้อย่างมีนัยสำคัญ
สุดท้าย VPN สามารถลดการเปิดรับโดยตรงของอินเทอร์เฟซการจัดการคลาวด์ โดยรับประกันว่าการเข้าถึงระดับผู้ดูแลระบบถูกกำหนดเส้นทางผ่านอุโมงค์ที่ควบคุมและตรวจสอบสิทธิ์แล้ว แทนที่จะเป็นการเชื่อมต่ออินเทอร์เน็ตแบบเปิด สิ่งนี้ไม่ได้กำจัดความเสี่ยงทั้งหมด แต่ยกระดับมาตรฐานสำหรับการเข้าถึงเริ่มต้นอย่างมีนัยสำคัญ
สิ่งที่หมายความสำหรับคุณ
หากองค์กรของคุณรันเวิร์กโหลดบนคลาวด์ PCPJack เป็นการเตือนโดยตรงว่าบริการที่เปิดรับและช่องโหว่ที่ยังไม่ได้รับการแก้ไขไม่ใช่ความเสี่ยงที่เป็นนามธรรม แต่เป็นเป้าหมายที่กระตือรือร้น แม้แต่ธุรกิจขนาดเล็กที่ใช้แพลตฟอร์มคลาวด์สำหรับการจัดเก็บ การพัฒนา หรือการผสานรวม SaaS ก็สามารถมีข้อมูลรับรองตัวตนที่ถูกเก็บเกี่ยวได้หากไม่มีการตรวจสอบการกำหนดค่าอย่างสม่ำเสมอ
สำหรับบุคคลที่ทำงานทางไกลและเข้าถึงทรัพยากรคลาวด์ขององค์กร ความเสี่ยงนั้นแบ่งปันร่วมกัน แนวปฏิบัติการตรวจสอบสิทธิ์ที่อ่อนแอหรือข้อมูลรับรองตัวตนที่แคชไว้บนอุปกรณ์ส่วนตัวอาจกลายเป็นจุดเข้าสู่เครือข่ายองค์กรที่ใหญ่กว่า
ข้อสรุปที่นำไปปฏิบัติได้:
- ตรวจสอบบริการคลาวด์ทั้งหมดที่หันหน้าสู่อินเทอร์เน็ตและใช้แพตช์ที่ค้างอยู่ โดยเฉพาะสำหรับหมวดหมู่ CVE ห้ารายการที่ PCPJack มุ่งเป้า
- ย้ายข้อมูลรับรองตัวตนและ API key ออกจากไฟล์สภาพแวดล้อมไปยังเครื่องมือจัดการความลับเฉพาะ
- ใช้การตรวจสอบสิทธิ์หลายปัจจัยบนการเข้าถึงคอนโซลคลาวด์และบัญชีบริการทั้งหมด
- ตรวจสอบความพร้อม Zero Trust ขององค์กรของคุณ โดยเฉพาะเกี่ยวกับการควบคุมการเคลื่อนที่ไปทางข้างและการตรวจสอบสิทธิ์ระหว่างบริการ
- ใช้อุโมงค์ VPN เพื่อจำกัดการเข้าถึงคลาวด์ระดับผู้ดูแลระบบให้อยู่ในเส้นทางเครือข่ายที่ตรวจสอบสิทธิ์และควบคุมแล้ว
มัลแวร์ขโมยข้อมูลรับรองตัวตนบนคลาวด์กำลังมีความอัตโนมัติและสร้างความเสียหายมากขึ้น การประเมินการเปิดรับของคุณเองในตอนนี้มีต้นทุนน้อยกว่าการตอบสนองต่อการละเมิดหลังจากเกิดขึ้นมากนัก
