PCPJack là một framework đánh cắp thông tin xác thực mới được phát hiện, lan rộng qua cơ sở hạ tầng đám mây bị lộ bằng cách kết hợp năm lỗ hổng chưa được vá lại với nhau và thu thập dữ liệu đăng nhập trên quy mô lớn. Nó hoạt động như một framework mô-đun được xây dựng xung quanh sáu thành phần Python, mỗi thành phần xử lý một giai đoạn riêng biệt của cuộc tấn công.

PCPJack đánh cắp thông tin xác thực như thế nào?

PCPJack thu thập thông tin xác thực được lưu trữ trong các tệp cấu hình, biến môi trường và các token xác thực được lưu trong bộ nhớ đệm trên các hệ thống bị xâm phạm. Các thông tin xác thực bị đánh cắp này sau đó được rút trộm đến cơ sở hạ tầng do kẻ tấn công kiểm soát.

Điều gì xảy ra sau khi PCPJack đánh cắp thông tin xác thực?

Sau khi rút trộm các thông tin xác thực bị đánh cắp, PCPJack sử dụng chúng để thực hiện di chuyển ngang bằng cách dò tìm các dịch vụ và hệ thống được kết nối để tìm kiếm thêm quyền truy cập, cho phép một nút bị xâm phạm trở thành bàn đạp cho một cuộc xâm nhập rộng lớn hơn.

PCPJack có khai thác các lỗ hổng zero-day không?

Không, PCPJack khai thác năm CVE đã được ghi nhận mà tất cả đều đã có bản vá trước khi phần mềm độc hại được triển khai. Framework này dựa vào khoảng cách giữa sự sẵn có của bản vá và việc thực sự áp dụng bản vá đó, thay vì các khai thác zero-day.

Ý nghĩa của việc PCPJack xóa bỏ TeamPCP khỏi các hệ thống bị lây nhiễm là gì?

PCPJack chủ động xóa bỏ một mối đe dọa cạnh tranh được gọi là TeamPCP để giành quyền kiểm soát độc quyền đối với cơ sở hạ tầng bị lây nhiễm. Hành vi này cho thấy những kẻ vận hành đứng sau PCPJack đủ tinh vi để coi các hệ thống đám mây bị xâm phạm là tài sản lâu dài đáng được bảo vệ.

Phần Mềm Độc Hại PCPJack Khai Thác 5 CVE Để Đánh Cắp Thông Tin Xác Thực Đám Mây

Một framework đánh cắp thông tin xác thực mới được phát hiện mang tên PCPJack đang lan rộng qua cơ sở hạ tầng đám mây bị lộ bằng cách kết hợp năm lỗ hổng chưa được vá lại với nhau, thu thập dữ liệu đăng nhập trên quy mô lớn, và di chuyển ngang qua các mạng theo cách tương tự hành vi của sâu máy tính cổ điển. Các nhà nghiên cứu đã xác định đây là một sự leo thang đáng kể trong dòng phần mềm độc hại đánh cắp thông tin xác thực đám mây, và những hệ quả của nó vượt ra ngoài phạm vi của từng tổ chức riêng lẻ, ảnh hưởng đến người làm việc từ xa, nhà thầu, và bất kỳ ai phụ thuộc vào môi trường đám mây dùng chung.

PCPJack Thu Thập và Rút Trộm Thông Tin Xác Thực Đám Mây Như Thế Nào

PCPJack hoạt động như một framework mô-đun được xây dựng xung quanh sáu thành phần Python, mỗi thành phần xử lý một giai đoạn riêng biệt của cuộc tấn công. Sau khi chiếm được chỗ đứng trên một hệ thống bị lộ, nó bắt đầu thu thập thông tin xác thực được lưu trữ trong các tệp cấu hình, biến môi trường và các token xác thực được lưu trong bộ nhớ đệm. Đây là những loại thông tin xác thực mà các dịch vụ cloud-native thường xuyên sử dụng để xác thực giữa các thành phần, và chúng thường bị để lại ở dạng không được mã hóa hoặc được bảo vệ không đầy đủ trong các môi trường phát triển và thử nghiệm.

Sau khi thu thập, các thông tin xác thực bị đánh cắp sẽ được rút trộm đến cơ sở hạ tầng do kẻ tấn công kiểm soát. Điều khiến PCPJack đặc biệt hung hăng là nó không dừng lại ở đó. Nó sử dụng các thông tin xác thực đã thu thập để thực hiện di chuyển ngang, dò tìm các dịch vụ và hệ thống được kết nối để tìm kiếm thêm quyền truy cập. Điều này tạo ra rủi ro kép: một nút bị xâm phạm có thể trở thành bàn đạp cho một cuộc xâm nhập rộng lớn hơn nhiều trên toàn bộ môi trường đám mây của một tổ chức.

Phần mềm độc hại này cũng chủ động xóa bỏ dấu vết của một mối đe dọa cạnh tranh được gọi là TeamPCP, thực chất là trục xuất kẻ tấn công trước để giành quyền kiểm soát độc quyền đối với cơ sở hạ tầng bị lây nhiễm. Hành vi cạnh tranh này cho thấy những kẻ vận hành đứng sau PCPJack đủ tinh vi để coi các hệ thống đám mây là tài sản lâu dài đáng được bảo vệ.

Các Dịch Vụ Đám Mây và CVE Nào Đang Bị Khai Thác

PCPJack nhắm mục tiêu vào cơ sở hạ tầng đám mây bị lộ một cách rộng rãi, tập trung vào các dịch vụ nơi thông tin xác thực có thể truy cập được do cấu hình sai hoặc vá lỗi chậm trễ. Framework này khai thác năm CVE đã được ghi nhận để thiết lập quyền truy cập ban đầu hoặc leo thang đặc quyền sau khi đã vào bên trong vành đai mạng. Mặc dù các mã định danh CVE cụ thể vẫn đang được xác minh rộng rãi trên các ấn phẩm bảo mật, các nhà nghiên cứu lưu ý rằng tất cả năm lỗ hổng đều đã được biết đến và có bản vá trước khi PCPJack được triển khai. Đây là một mô hình lặp lại trong các cuộc tấn công nhắm vào đám mây: các tác nhân đe dọa không dựa vào khai thác zero-day mà dựa vào khoảng cách giữa sự sẵn có của bản vá và việc thực sự áp dụng bản vá đó.

Động lực này phản ánh cách thức leo thang của việc đánh cắp thông tin xác thực trong các chuỗi tấn công khác. Chiến dịch lừa đảo mà Microsoft phát hiện nhắm vào 35.000 người dùng trên 13.000 tổ chức cũng tận dụng các token xác thực bị xâm phạm theo cách tương tự, minh họa rằng thông tin xác thực bị đánh cắp đóng vai trò như một chìa khóa vạn năng trên các dịch vụ kết nối với nhau.

Tại Sao Cơ Sở Hạ Tầng Đám Mây Bị Lộ Là Lỗ Hổng Cốt Lõi

Hiệu quả của PCPJack ít liên quan đến sự tinh vi về mặt kỹ thuật và nhiều hơn là về cơ hội. Các môi trường đám mây thường được triển khai nhanh chóng, với các cấu hình bảo mật chạy sau nhu cầu vận hành. Các dịch vụ đối mặt với internet, quyền tài khoản dịch vụ được phân phạm vi không đúng cách, và thông tin xác thực được lưu trữ ở dạng văn bản thuần túy trong các tệp môi trường đều tạo ra điều kiện mà các công cụ như PCPJack được xây dựng để khai thác.

Làm việc từ xa đã khuếch đại sự phơi lộ này. Các nhà phát triển và kỹ sư truy cập bảng điều khiển đám mây từ mạng gia đình, sử dụng thiết bị cá nhân, hoặc luân phiên giữa các dự án mà không có quy trình bàn giao chính thức đều góp phần tạo ra một bề mặt tấn công rộng lớn, khó kiểm toán. Vấn đề vệ sinh thông tin xác thực không phải là mới, nhưng PCPJack chứng minh cách nó có thể được vũ khí hóa một cách hiệu quả trên quy mô lớn khi kết hợp với cơ chế lan truyền tự động giống sâu máy tính.

Đáng lưu ý là các cuộc tấn công tập trung vào thông tin xác thực không cần đến các kỹ thuật xâm nhập tiên tiến nhất để gây ra thiệt hại nghiêm trọng. Như đã thấy trong các sự cố như vụ vi phạm của công ty con IBM tại Italy liên quan đến các hoạt động do nhà nước bảo trợ, một khi kẻ tấn công nắm giữ thông tin xác thực hợp lệ, chúng có thể di chuyển qua các hệ thống trong khi hòa lẫn với lưu lượng truy cập hợp pháp.

Phòng Thủ Theo Lớp: VPN, Zero Trust và Quản Lý Thông Tin Xác Thực

Bảo vệ trước một mối đe dọa như PCPJack đòi hỏi phải giải quyết đồng thời cả vector khai thác lỗ hổng lẫn vấn đề lộ thông tin xác thực.

Thứ nhất, việc quản lý bản vá cho các dịch vụ đối mặt với đám mây không thể được xem là tùy chọn hoặc có thể trì hoãn. Tất cả năm CVE được PCPJack khai thác đều đã có biện pháp khắc phục trước khi phần mềm độc hại được triển khai thực tế. Duy trì lịch vá lỗi kịp thời, đặc biệt đối với các dịch vụ bị lộ trên internet, trực tiếp giảm thiểu bề mặt tấn công.

Thứ hai, các tổ chức nên kiểm toán cách thông tin xác thực được lưu trữ và phân phạm vi trong môi trường đám mây của họ. Các tài khoản dịch vụ nên tuân theo nguyên tắc đặc quyền tối thiểu, và các bí mật nên được lưu trữ trong các kho lưu trữ chuyên dụng thay vì trong các tệp môi trường hoặc kho lưu trữ mã. Xoay vòng thông tin xác thực thường xuyên và vô hiệu hóa các token không sử dụng giúp hạn chế giá trị của bất kỳ thứ gì mà PCPJack có thể đánh cắp được.

Thứ ba, áp dụng mô hình bảo mật Zero Trust thay đổi giả định cơ bản rằng lưu lượng mạng nội bộ là đáng tin cậy. Theo Zero Trust, mọi yêu cầu truy cập, dù từ người dùng hay tài khoản dịch vụ, đều phải được xác thực và ủy quyền theo các chính sách đã định. Kiến trúc này hạn chế đáng kể việc di chuyển ngang mà PCPJack dựa vào để mở rộng phạm vi sau khi có quyền truy cập ban đầu.

Cuối cùng, VPN có thể giảm thiểu sự phơi lộ trực tiếp của các giao diện quản lý đám mây bằng cách đảm bảo rằng quyền truy cập quản trị được định tuyến qua các đường hầm được kiểm soát, xác thực thay vì các kết nối internet mở. Điều này không loại bỏ hoàn toàn mọi rủi ro, nhưng nó nâng cao đáng kể rào cản cho việc truy cập ban đầu.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu tổ chức của bạn chạy các khối lượng công việc trên đám mây, PCPJack là lời nhắc nhở trực tiếp rằng các dịch vụ bị lộ và các lỗ hổng chưa được vá không phải là rủi ro trừu tượng. Chúng là các mục tiêu đang bị tấn công tích cực. Ngay cả các doanh nghiệp nhỏ hơn sử dụng nền tảng đám mây cho lưu trữ, phát triển hoặc tích hợp SaaS cũng có thể bị thu thập thông tin xác thực nếu cấu hình không được xem xét thường xuyên.

Đối với những cá nhân làm việc từ xa và truy cập tài nguyên đám mây của doanh nghiệp, rủi ro là được chia sẻ. Các thói quen xác thực yếu kém hoặc thông tin xác thực được lưu trong bộ nhớ đệm trên thiết bị cá nhân có thể trở thành điểm xâm nhập vào các mạng tổ chức lớn hơn.

Các hành động cần thực hiện:

Kiểm toán tất cả các dịch vụ đám mây đối mặt với internet và áp dụng các bản vá còn tồn đọng, đặc biệt đối với năm danh mục CVE mà PCPJack nhắm đến.
Chuyển thông tin xác thực và khóa API ra khỏi các tệp môi trường và vào các công cụ quản lý bí mật chuyên dụng.
Triển khai xác thực đa yếu tố trên tất cả quyền truy cập bảng điều khiển đám mây và tài khoản dịch vụ.
Xem xét mức độ sẵn sàng Zero Trust của tổ chức bạn, đặc biệt xung quanh các biện pháp kiểm soát di chuyển ngang và xác thực dịch vụ-với-dịch vụ.
Sử dụng đường hầm VPN để hạn chế quyền truy cập quản trị đám mây vào các đường dẫn mạng được xác thực, kiểm soát.

Phần mềm độc hại đánh cắp thông tin xác thực đám mây đang ngày càng tự động hóa hơn và gây thiệt hại nhiều hơn. Đánh giá mức độ phơi lộ của chính bạn ngay bây giờ ít tốn kém hơn nhiều so với việc ứng phó với một vụ vi phạm sau khi sự việc đã xảy ra.