กลุ่ม Megecart โจมตีโดยอาศัยช่องโหว่ Misconfigured บน AWS

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

Megecart คือการรวมกลุ่มของแฮกเกอร์ที่มีเป้าหมายมุ่งโจมตี online shopping cart เป็นหลัก จากรายงานของ RiskIQ บริษัทด้าน cybersecurity แห่งหนึ่งพบว่าแฮกเกอร์กลุ่มนี้ยังคงใช้ช่องโหว่จากการ misconfigure บน Amazon S3 (S3 ย่อมาจาก Simple Storage Service) หรือที่เรียกกันว่า AWS S3 ซึ่งเป็น storage infrastructure ซึ่งวิธีการโจมตีทำโดยการใส่ Code มัลแวร์ลงไปในเว็บไซต์ ผลคือจะสามารถ compromise เว็บไซต์ของเป้าหมายและทำการดักข้อมูล credit card ของลูกค้าขณะทำการจ่ายเงินได้ จากนั้นจะส่งข้อมูลกลับไปยัง C&C server ซึ่งนอกจากการขโมยข้อมูลบัตรเครดิตแล้ว ยังใช้เพื่อทำสแปมและแฝงโฆษณาอีกด้วย

RiskIQ กล่าวเพิ่มเติมอีกว่า ในช่วงเดือนกรกฎาคมที่ผ่านมาพบการทำ Magecart campaign จากการ misconfigure ของ S3 มากถึง 17,000 โดเมน ดังนั้นเพื่อลดผลกระทบจากการโจมตีดังกล่าว RiskIQ แนะนำให้ผู้ดูแลระบบ (Admin) เปิดการใช้งาน Access Control Lists (ACLs) และเปิดการใช้งาน Bucket Policy (Bucket คือ ถังที่เก็บข้อมุลในระบบของ AWS S3) โดยปรับการตั้งค่าหากมีการเรียกใช้งานจากภายนอก หรือ Internet โดยให้ทำได้เพียงแค่ read only เท่านั้น สำหรับวิธีการตั้งค่าเพิ่มเติมสามารถอ่านได้จาก AWS ได้ที่

https://aws.amazon.com/th/blogs/aws/amazon-s3-block-public-access-another-layer-of-protection-for-your-accounts-and-buckets/

ที่มา: https://thehackernews.com/2020/06/magecart-skimmer-amazon.html

บทความที่เกี่ยวข้อง