Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) Кампания за компрометиране в облака UNC4899

Кампания за компрометиране в облака UNC4899

До Mezo през Усъвършенствана постоянна заплаха (APT)г
Превод на:

Сложно кибернахвърлителство през 2025 г. е свързано със севернокорейския хакер UNC4899, група, заподозряна в организиране на мащабно компрометиране на организация за криптовалути, довело до кражба на милиони долари в цифрови активи. Кампанията се приписва с умерена увереност на този спонсориран от държавата противник, който е проследяван и под няколко други имена, включително Jade Sleet, PUKCHONG, Slow Pisces и TraderTraitor.

Инцидентът се откроява с многопластовата си методология. Нападателите комбинираха социално инженерство с експлоатация на механизми за пренос на данни от личен към корпоративен тип „peer-to-peer“ и по-късно се насочиха към облачната инфраструктура на организацията. Веднъж попаднали в облачната среда, легитимни работни процеси на DevOps бяха злоупотребени за събиране на идентификационни данни, заобикаляне на границите на контейнерите и манипулиране на Cloud SQL бази данни, за да улеснят кражбата.

От лично устройство към корпоративна мрежа: Първоначалният компромис

Атаката започна с внимателно разработена кампания за социално инженерство. Разработчик, работещ в целевата организация, беше подведен да изтегли архивен файл, представен като част от легитимен проект за сътрудничество с отворен код. След като изтегли файла на лично устройство, разработчикът го прехвърли на корпоративна работна станция, използвайки AirDrop, като неволно преодолее границата на сигурност между личната и корпоративната среда.

Взаимодействието с архива се осъществява чрез интегрирана среда за разработка (IDE), подпомагана от изкуствен интелект. По време на този процес е изпълнен зловреден Python код, вграден в архива. Кодът е разположил двоичен файл, маскиран като инструмента за команден ред на Kubernetes, което му позволява да изглежда легитимен, докато извършва злонамерени операции.

След това двоичният файл се е свързал с домейн, контролиран от нападателите, и е функционирал като задна вратичка в корпоративната система. Тази позиция е позволила на нападателите да се преместят от компрометираната работна станция в средата на Google Cloud на организацията, вероятно използвайки активни удостоверени сесии и достъпни идентификационни данни.

След като влязоха в облачната инфраструктура, нападателите започнаха фаза на разузнаване, предназначена да идентифицира услуги, проекти и точки за достъп, които биха могли да бъдат използвани за по-нататъшно компрометиране.

Експлоатация на облачна среда и ескалация на привилегиите

По време на етапа на разузнаване, нападателите идентифицираха бастионен хост в облачната среда. Чрез промяна на атрибута на политиката за многофакторно удостоверяване на хоста беше постигнат неоторизиран достъп. Този достъп позволи по-задълбочени разузнавателни дейности, включително навигация до специфични pod-ове в средата на Kubernetes.

След това атакуващите преминаха към стратегия „живеейки извън облака“, разчитайки предимно на легитимни облачни инструменти и конфигурации, а не на външен зловреден софтуер. Устойчивостта беше установена чрез промяна на конфигурациите за внедряване на Kubernetes, така че злонамерена bash команда да се изпълнява автоматично при създаване на нови pod-ове. Тази команда извличаше и разполагаше backdoor, осигурявайки непрекъснат достъп.

Ключови действия, извършени от злонамерената страна по време на компрометирането, включват:

  • Модифициране на Kubernetes ресурси, свързани с CI/CD платформата на организацията, за инжектиране на команди, които разкриват токени на сервизни акаунти в системните лог файлове.
  • Придобиване на токен, свързан с високо привилегирован CI/CD сервизен акаунт, което позволява ескалация на привилегиите и странично движение към под, отговорен за мрежовите политики и балансиране на натоварването.
  • Използване на откраднатия токен за удостоверяване на самоличността в чувствителен инфраструктурен модул, работещ в привилегирован режим, излизане от средата на контейнера и инсталиране на постоянна задна вратичка.
  • Провеждане на допълнително разузнаване преди насочване към работно натоварване, отговорно за управлението на информацията за клиентите, включително потребителски самоличности, данни за сигурност на акаунта и данни за портфейли с криптовалута.
  • Извличане на статични идентификационни данни за базата данни, които са били неправилно съхранени в променливи на средата на pod.
  • Използване на тези идентификационни данни чрез Cloud SQL Auth Proxy за достъп до производствената база данни и изпълнение на SQL команди, които са модифицирали потребителски акаунти, включително нулиране на пароли и актуализиране на многофакторни автентични данни за няколко акаунта с висока стойност.

Тези манипулации в крайна сметка позволиха на нападателите да контролират компрометирани акаунти и успешно да изтеглят няколко милиона долара в криптовалута.

Последици за сигурността от трансфера на данни между различни среди

Инцидентът подчертава няколко критични слабости в сигурността, често срещани в съвременните облачни среди. Механизмите за пренос на данни от личен към корпоративен тип, като AirDrop, могат неволно да заобиколят контролите за корпоративна сигурност, което позволява на злонамерен софтуер, въведен на лични устройства, да достигне до корпоративните системи.

Допълнителни рискови фактори включваха използването на привилегировани контейнерни режими, недостатъчна сегментация между работните натоварвания и несигурно съхранение на чувствителни идентификационни данни в променливи на средата. Всяка от тези слабости увеличи радиуса на проникване, след като нападателите заемат първоначална позиция.

Защитни стратегии за смекчаване на подобни заплахи

Организациите, управляващи облачни инфраструктури, особено тези, които управляват финансови активи или криптовалути, трябва да внедрят многопластови защитни контроли, които адресират както рисковете за крайните точки, така и за облачните услуги.

Ефективните мерки за смекчаване включват:

  • Внедряване на контекстно-зависим контрол на достъпа и многофакторно удостоверяване, устойчиво на фишинг.
  • Гарантиране, че в облачните среди се разполагат само надеждни и проверени изображения на контейнери.
  • Изолиране на компрометирани възли и предотвратяване на установяването на връзки с външни хостове.
  • Мониторинг на контейнерни среди за неочаквани процеси или аномално поведение по време на изпълнение.
  • Приемане на надеждни практики за управление на тайни, за да се елиминира съхранението на идентификационни данни в променливи на средата.
  • Прилагане на политики за крайни точки, които деактивират или ограничават peer-to-peer трансфера на файлове, като AirDrop или Bluetooth, и предотвратяват монтирането на неуправлявани външни носители на корпоративни устройства.

Цялостна стратегия за защита в дълбочина, която валидира самоличността, ограничава неконтролираните пътища за пренос на данни и налага строга изолация по време на изпълнение в облачни среди, може значително да намали въздействието на подобни напреднали кампании за проникване.

Тенденция

Critical-service.cc

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Сърфирането в интернет изисква постоянна бдителност. Киберпрестъпниците непрекъснато разработват измамни техники, за да манипулират потребителите, така че да компрометират собствената си сигурност....

Най-гледан

Зловреден софтуер

Фишинг, Спам
21,503
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...