Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Campanya de compromís al núvol UNC4899

Campanya de compromís al núvol UNC4899

El Mezo el Amenaça persistent avançada (APT)
Traduir a:

Una sofisticada intrusió cibernètica del 2025 s'ha relacionat amb l'actor d'amenaces nord-coreà UNC4899, un grup sospitós d'orquestrar un compromís a gran escala d'una organització de criptomonedes que va resultar en el robatori de milions de dòlars en actius digitals. La campanya s'ha atribuït amb confiança moderada a aquest adversari patrocinat per l'estat, que també es rastreja amb diversos altres noms, com ara Jade Sleet, PUKCHONG, Slow Pisces i TraderTraitor.

L'incident destaca per la seva metodologia multicapa. Els atacants van combinar l'enginyeria social amb l'explotació de mecanismes de transferència de dades peer-to-peer entre particulars i empreses i, posteriorment, van pivotar cap a la infraestructura de núvol de l'organització. Un cop dins de l'entorn de núvol, es van abusar dels fluxos de treball legítims de DevOps per recopilar credencials, escapar dels límits dels contenidors i manipular bases de dades Cloud SQL per facilitar el robatori.

Del dispositiu personal a la xarxa corporativa: el compromís inicial

L'atac va començar amb una campanya d'enginyeria social acuradament elaborada. Un desenvolupador que treballava dins de l'organització objectiu va ser enganyat perquè descarregués un fitxer d'arxiu presentat com a part d'un projecte legítim de col·laboració de codi obert. Després de descarregar el fitxer a un dispositiu personal, el desenvolupador el va transferir a una estació de treball corporativa mitjançant AirDrop, superant involuntàriament una frontera de seguretat entre els entorns personal i empresarial.

La interacció amb l'arxiu es va produir a través d'un entorn de desenvolupament integrat (IDE) assistit per IA. Durant aquest procés, es va executar codi Python maliciós incrustat a l'arxiu. El codi va implementar un binari disfressat d'eina de línia d'ordres de Kubernetes, cosa que li permetia semblar legítim mentre realitzava operacions malicioses.

El binari va contactar llavors amb un domini controlat pels atacants i va funcionar com una porta del darrere dins del sistema corporatiu. Aquest punt de suport va permetre als adversaris pivotar des de l'estació de treball compromesa cap a l'entorn de Google Cloud de l'organització, probablement aprofitant sessions autenticades actives i credencials accessibles.

Un cop dins de la infraestructura del núvol, els atacants van iniciar una fase de reconeixement dissenyada per identificar serveis, projectes i punts d'accés que es podrien aprofitar per a un major compromís.

Explotació de l’entorn al núvol i escalada de privilegis

Durant la fase de reconeixement, els atacants van identificar un host bastió dins de l'entorn del núvol. En modificar l'atribut de la política d'autenticació multifactor de l'host, es va aconseguir accés no autoritzat. Aquest accés va permetre activitats de reconeixement més profundes, inclosa la navegació a pods específics dins de l'entorn de Kubernetes.

Els atacants van passar a una estratègia de viure fora del núvol, basant-se principalment en eines i configuracions de núvol legítimes en lloc de programari maliciós extern. La persistència es va establir modificant les configuracions de desplegament de Kubernetes de manera que una ordre bash maliciosa s'executés automàticament cada vegada que es creessin nous pods. Aquesta ordre recuperava i desplegava una porta del darrere, garantint l'accés continu.

Les accions clau realitzades per l'actor d'amenaces durant el compromís van incloure:

  • Modificació dels recursos de Kubernetes associats a la plataforma de CI/CD de l'organització per injectar ordres que exposessin tokens de comptes de servei als registres del sistema.
  • Adquirir un token vinculat a un compte de servei CI/CD amb privilegis elevats, permetent l'escalada de privilegis i el moviment lateral cap a un pod responsable de les polítiques de xarxa i l'equilibri de càrrega.
  • Utilitzant el token robat per autenticar-se a un pod d'infraestructura sensible que opera en mode privilegiat, escapant de l'entorn del contenidor i instal·lant una porta del darrere persistent.
  • Realització de reconeixements addicionals abans de centrar-se en una càrrega de treball responsable de gestionar la informació del client, incloses les identitats dels usuaris, els detalls de seguretat del compte i les dades de la cartera de criptomonedes.
  • S'estan extraient les credencials de base de dades estàtiques que s'havien emmagatzemat incorrectament dins de les variables d'entorn del pod.
  • Aprofitant aquestes credencials a través del servidor intermediari d'autenticació de Cloud SQL per accedir a la base de dades de producció i executar ordres SQL que modifiquen els comptes d'usuari, incloent-hi restabliments de contrasenyes i actualitzacions de les llavors d'autenticació multifactor per a diversos comptes d'alt valor.

Aquestes manipulacions van permetre finalment als atacants controlar els comptes compromesos i retirar amb èxit diversos milions de dòlars en criptomoneda.

Implicacions de seguretat de les transferències de dades entre entorns

L'incident posa de manifest diverses debilitats crítiques de seguretat que es troben habitualment en els entorns moderns nadius del núvol. Els mecanismes de transferència de dades peer-to-peer entre particulars i empreses, com ara AirDrop, poden eludir involuntàriament els controls de seguretat empresarials, permetent que el programari maliciós introduït als dispositius personals arribi als sistemes corporatius.

Altres factors de risc incloïen l'ús de modes de contenidor privilegiats, una segmentació insuficient entre càrregues de treball i un emmagatzematge insegur de credencials sensibles en variables d'entorn. Cadascuna d'aquestes debilitats va augmentar el radi d'explosió de la intrusió un cop els atacants van aconseguir un punt de suport inicial.

Estratègies defensives per mitigar amenaces similars

Les organitzacions que operen infraestructures basades en el núvol, especialment les que gestionen actius financers o criptomonedes, han d'implementar controls defensius per capes que abordin tant els riscos dels endpoints com els del núvol.

Les mesures de mitigació efectives inclouen:

  • Implementació de controls d'accés sensibles al context i autenticació multifactor resistent al phishing.
  • Assegurar-se que només s'implementin imatges de contenidors fiables i verificades dins d'entorns de núvol.
  • Aïllar els nodes compromesos i evitar que estableixin connexions amb amfitrions externs.
  • Supervisió dels entorns de contenidors per detectar processos inesperats o comportaments anòmals en temps d'execució.
  • Adoptar pràctiques robustes de gestió de secrets per eliminar l'emmagatzematge de credencials en variables d'entorn.
  • Aplicar polítiques de punt final que desactivin o restringeixin les transferències de fitxers entre iguals, com ara AirDrop o Bluetooth, i impedir el muntatge de suports externs no gestionats en dispositius corporatius.

Una estratègia completa de defensa en profunditat que validi la identitat, restringeixi les vies de transferència de dades no controlades i imposi un aïllament estricte en temps d'execució dins dels entorns de núvol pot reduir significativament l'impacte de campanyes d'intrusions avançades similars.

Tendència

Més vist

Carregant...