PCPJack ขโมยรหัสผ่าน 5 ช่องโหว่ ระบาดเหมือนหนอนในระบบคลาวด์
PCPJack เฟรมเวิร์กขโมยข้อมูลประจำตัวตัวใหม่ ใช้ประโยชน์จาก 5 ช่องโหว่ในระบบคลาวด์ แพร่กระจายตัวเองเหมือนหนอน เป้าหมายเพื่อขโมย credentials และลบร่องรอย TeamPCP
นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยรายละเอียดของเฟรมเวิร์กขโมยข้อมูลประจำตัวตัวใหม่ที่มีชื่อว่า PCPJack ซึ่งกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานคลาวด์ที่เปิดเผยต่อสาธารณะ และกวาดล้างสิ่งประดิษฐ์ใด ๆ ที่เชื่อมโยงกับ TeamPCP ออกจากสภาพแวดล้อมที่ถูกโจมตี
ชุดเครื่องมือนี้สามารถเก็บเกี่ยวข้อมูลประจำตัวจากบริการคลาวด์ คอนเทนเนอร์ นักพัฒนา productivity และบริการทางการเงิน จากนั้นจะขโมยข้อมูลดังกล่าวผ่านโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี ขณะเดียวกันก็พยายามแพร่กระจายตัวเองไปยังระบบอื่น ๆ ในลักษณะคล้ายหนอน โดยใช้ประโยชน์จากช่องโหว่ร้ายแรงถึง 5 รายการ
ที่มาและวัตถุประสงค์ของ PCPJack
PCPJack ถูกพัฒนาขึ้นโดยกลุ่มผู้โจมตีที่ต้องการลบร่องรอยของ TeamPCP ซึ่งเป็นอีกหนึ่งกลุ่มอาชญากรไซเบอร์ที่รู้จักกันดีออกจากระบบที่ถูกบุกรุก การกระทำนี้แสดงให้เห็นถึงความขัดแย้งภายในโลกใต้ดินของอาชญากรไซเบอร์ หรืออาจเป็นการพยายามยึดครองพื้นที่และทรัพยากรที่ TeamPCP เคยครอบครองอยู่
เป้าหมายหลักของมัลแวร์นี้คือการขโมยข้อมูลประจำตัวและ credentials ต่างๆ ที่เก็บไว้ในคลาวด์ โดยเฉพาะอย่างยิ่งข้อมูลที่เกี่ยวข้องกับการเข้าถึงระบบที่มีความสำคัญสูง เพื่อนำไปใช้ในการโจมตีครั้งต่อไปหรือขายต่อในตลาดมืด
เทคนิคการโจมตีและการใช้ประโยชน์จากช่องโหว่
มัลแวร์ PCPJack ใช้ประโยชน์จากช่องโหว่ที่รู้จักแล้วจำนวน 5 รายการ ซึ่งเป็นช่องโหว่ที่มักพบในระบบคลาวด์และแอปพลิเคชันที่เกี่ยวข้อง ช่องโหว่เหล่านี้ช่วยให้ผู้โจมตีสามารถดำเนินการคำสั่งจากระยะไกล เพิ่มสิทธิ์การเข้าถึง และย้ายไปยังระบบอื่นในเครือข่ายเดียวกันได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์หลายชั้น
เมื่อเจาะเข้าสู่ระบบได้สำเร็จ PCPJack จะเริ่มกระบวนการรวบรวมข้อมูลประจำตัวจากหลายแหล่ง เช่น ไฟล์คอนฟิกูเรชัน ตัวแปรสภาพแวดล้อม และ token การเข้าถึงที่ถูกเก็บไว้ในระบบคลาวด์ ข้อมูลที่ถูกขโมยจะถูกส่งกลับไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมผ่านช่องทางที่เข้ารหัสเพื่อหลีกเลี่ยงการตรวจจับ
การแพร่กระจายในลักษณะคล้ายหนอน
จุดเด่นของ PCPJack คือความสามารถในการแพร่กระจายตัวเองไปยังระบบอื่นในลักษณะคล้ายหนอนเวิร์ม โดยมันจะสแกนหาเครื่องและบริการอื่น ๆ ในเครือข่ายคลาวด์เดียวกัน จากนั้นใช้ข้อมูลประจำตัวที่ขโมยมาหรือช่องโหว่ที่มีอยู่เพื่อเข้าถึงและติดตั้งตัวเองซ้ำอีกครั้งในระบบใหม่
พฤติกรรมนี้ทำให้ PCPJack เป็นภัยคุกคามที่ร้ายแรงเป็นพิเศษ เพราะเมื่อสามารถเจาะระบบเริ่มต้นได้เพียงระบบเดียว มันก็จะสามารถขยายอาณาเขตไปยังทรัพยากรอื่น ๆ ที่เชื่อมต่อกันภายในสภาพแวดล้อมคลาวด์ได้โดยอัตโนมัติ สร้างความเสียหายในวงกว้างโดยที่ผู้ดูแลระบบอาจไม่ทันตั้งตัว
วิธีการป้องกันและรับมือ
องค์กรที่ใช้ระบบคลาวด์ควรดำเนินการอัปเดตแพตช์ความปลอดภัยสำหรับช่องโหว่ที่ถูกใช้โดย PCPJack ทันที รวมถึงตรวจสอบการตั้งค่าการเข้าถึงและสิทธิ์ของผู้ใช้ในบริการคลาวด์อย่างสม่ำเสมอ การใช้การยืนยันตัวตนแบบหลายปัจจัยและการจัดการข้อมูลประจำตัวอย่างเข้มงวดสามารถช่วยลดความเสี่ยงได้
นอกจากนี้ การใช้โซลูชันการตรวจจับและตอบสนองบนคลาวด์รวมถึงการตรวจสอบบันทึกการทำงานที่ผิดปกติจะช่วยให้สามารถระบุและตอบสนองต่อกิจกรรมที่อาจเป็นอันตรายได้อย่างรวดเร็ว โซลูชันความปลอดภัยทางไซเบอร์ที่ครอบคลุม จากผู้เชี่ยวชาญสามารถช่วยเสริมความแข็งแกร่งให้กับโครงสร้างพื้นฐานคลาวด์ของคุณ
Reference
The Hacker News
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด