O ator de ameaças conhecido como PCPJack sequestrou servidores de nuvem associados à Amazon Web Services (AWS), Google Cloud e Microsoft Azure para criar uma rede de retransmissão de e-mail SMTP furtiva. Servidores de negócios comprometidos nos EUA, Europa e Ásia foram convertidos silenciosamente em proxies SMTP, verificados para capacidade de retransmissão de e-mail e sincronizados com um consumidor a jusante a cada cinco minutos, segundo a Hunt.io.
Descoberta e escopo da ameaça
A campanha do PCPJack representa uma evolução significativa nas táticas de infraestrutura de ataque em nuvem. Em vez de hospedar malwares diretamente nos servidores comprometidos, os atacantes utilizam a infraestrutura legítima para retransmitir e-mails maliciosos, dificultando a detecção por sistemas de segurança tradicionais que confiam em reputação de IP de nuvem.
A rede de retransmissão SMTP furtiva permite que os atacantes disfarcem a origem de campanhas de phishing e spam, tornando a atribuição e o bloqueio muito mais difíceis para as equipes de segurança. A escala do ataque, com 230 servidores comprometidos, indica uma operação organizada e de longo prazo.
Vetor e exploração
Os detalhes exatos do vetor de entrada inicial não foram totalmente divulgados, mas a conversão de servidores de negócios em proxies SMTP sugere que os atacantes podem ter explorado credenciais comprometidas ou vulnerabilidades não corrigidas em serviços de nuvem. A sincronização a cada cinco minutos indica um controle centralizado e automatizado, típico de operações de ransomware ou campanhas de espionagem.
A utilização de múltiplas nuvens (AWS, Google, Azure) demonstra a capacidade dos atacantes de se moverem lateralmente entre provedores, aproveitando a confiança mútua entre serviços de nuvem para evitar bloqueios de rede.
Impacto e alcance
A rede de retransmissão SMTP furtiva pode ser usada para distribuir malwares, realizar phishing corporativo ou exfiltrar dados de forma furtiva. A natureza distribuída da infraestrutura torna a mitigação complexa, pois os IPs de origem são legítimos e pertencem a provedores de nuvem respeitados.
Organizações que dependem de e-mail para comunicação crítica devem estar cientes de que seus próprios servidores de nuvem podem ser alvo de sequestro para fins maliciosos. A detecção de tráfego SMTP incomum saindo de servidores de nuvem é essencial para identificar esse tipo de comprometimento.
Medidas de mitigação recomendadas
As equipes de segurança devem revisar as configurações de rede em seus ambientes de nuvem para garantir que não haja retransmissão SMTP não autorizada. O monitoramento de tráfego de saída e a implementação de políticas de segurança de rede baseadas em comportamento podem ajudar a identificar e bloquear atividades suspeitas.
A adoção de soluções de segurança de nuvem (CSPM) que detectam configurações inseguras e atividades anômalas é recomendada para prevenir o sequestro de servidores. Além disso, a revisão regular de logs de acesso e a aplicação de princípio de menor privilégio são fundamentais para reduzir a superfície de ataque.
O que os CISOs devem fazer imediatamente
Os CISOs devem priorizar a auditoria de servidores de nuvem expostos e a revisão de políticas de acesso. A implementação de autenticação multifator (MFA) em todos os serviços de nuvem é crítica para prevenir o comprometimento de credenciais que pode levar ao sequestro de servidores.
A colaboração com provedores de nuvem para relatar atividades suspeitas e a participação em comunidades de inteligência de ameaças podem ajudar a antecipar e mitigar futuras campanhas do PCPJack.
Perguntas frequentes
Como identificar servidores comprometidos? Monitore tráfego SMTP incomum e revisite logs de acesso para atividades não autorizadas.
Qual o impacto nos negócios? A rede pode ser usada para phishing e distribuição de malwares, afetando a reputação e a segurança da organização.
Como prevenir? Implemente MFA, revise políticas de rede e utilize soluções de segurança de nuvem para monitoramento contínuo.