Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) UNC4899 Cloud-kompromitteringskampagne

UNC4899 Cloud-kompromitteringskampagne

Med Mezo i Advanced Persistent Threat (APT)
Oversæt til:

Et sofistikeret cyberangreb i 2025 er blevet forbundet med den nordkoreanske trusselsaktør UNC4899, en gruppe mistænkt for at have orkestreret en storstilet kompromittering af en kryptovalutaorganisation, der resulterede i tyveri af digitale aktiver for millioner af dollars. Kampagnen er med moderat sikkerhed blevet tilskrevet denne statsstøttede modstander, som også spores under flere andre navne, herunder Jade Sleet, PUKCHONG, Slow Pisces og TraderTraitor.

Hændelsen skiller sig ud på grund af sin flerlagede metode. Angriberne kombinerede social engineering med udnyttelse af peer-to-peer-dataoverførselsmekanismer fra personlige til virksomhedsdata og bevægede sig senere ind i organisationens cloudinfrastruktur. Da de var inde i cloudmiljøet, blev legitime DevOps-arbejdsgange misbrugt til at indsamle legitimationsoplysninger, undslippe containergrænser og manipulere Cloud SQL-databaser for at fremme tyveriet.

Fra personlig enhed til virksomhedsnetværk: Det indledende kompromis

Angrebet begyndte med en omhyggeligt udformet social engineering-kampagne. En udvikler, der arbejdede i den angrebne organisation, blev narret til at downloade en arkivfil, der blev præsenteret som en del af et legitimt open source-samarbejdsprojekt. Efter at have downloadet filen til en personlig enhed, overførte udvikleren den til en virksomhedsarbejdsstation ved hjælp af AirDrop, hvilket utilsigtet byggede bro over en sikkerhedsgrænse mellem personlige og virksomhedsmiljøer.

Interaktion med arkivet foregik via et AI-assisteret integreret udviklingsmiljø (IDE). Under denne proces blev ondsindet Python-kode, der var indlejret i arkivet, udført. Koden implementerede en binær fil forklædt som Kubernetes-kommandolinjeværktøjet, hvilket gjorde det muligt for den at se legitim ud, mens den udførte ondsindede handlinger.

Den binære fil kontaktede derefter et domæne kontrolleret af angriberne og fungerede som en bagdør i virksomhedens system. Dette fodfæste gjorde det muligt for angriberne at skifte fra den kompromitterede arbejdsstation til organisationens Google Cloud-miljø, sandsynligvis ved at udnytte aktive, godkendte sessioner og tilgængelige legitimationsoplysninger.

Da angriberne var inde i cloud-infrastrukturen, begyndte de en rekognosceringsfase designet til at identificere tjenester, projekter og adgangspunkter, der kunne udnyttes til yderligere kompromittering.

Udnyttelse af cloudmiljø og eskalering af privilegier

Under rekognosceringsfasen identificerede angriberne en bastionvært i cloudmiljøet. Ved at ændre værtens multifaktorgodkendelsespolitikattribut blev der opnået uautoriseret adgang. Denne adgang muliggjorde dybere rekognosceringsaktiviteter, herunder navigation til specifikke pods i Kubernetes-miljøet.

Angriberne gik derefter over til en "live-off-the-cloud"-strategi, hvor de primært baserede sig på legitime cloud-værktøjer og -konfigurationer frem for ekstern malware. Persistens blev etableret ved at ændre Kubernetes-implementeringskonfigurationer, så en ondsindet bash-kommando automatisk ville blive udført, når nye pods blev oprettet. Denne kommando hentede og implementerede en bagdør, hvilket sikrede fortsat adgang.

Nøglehandlinger udført af trusselsaktøren under kompromitteringen omfattede:

  • Ændring af Kubernetes-ressourcer, der er knyttet til organisationens CI/CD-platform, for at indsætte kommandoer, der eksponerede servicekontotokens i systemlogfiler.
  • Anskaffelse af et token knyttet til en CI/CD-tjenestekonto med høje rettigheder, hvilket muliggør privilegiumsudvidelse og lateral bevægelse mod en pod, der er ansvarlig for netværkspolitikker og load balancing.
  • Brug af den stjålne token til at godkende til en følsom infrastrukturpod, der opererer i privilegeret tilstand, undslippe containermiljøet og installere en persistent bagdør.
  • Udførelse af yderligere rekognoscering før målretning af en arbejdsbyrde med ansvar for administration af kundeoplysninger, herunder brugeridentiteter, kontosikkerhedsoplysninger og kryptovaluta-tegnebogsdata.
  • Udtrækning af statiske databaselegitimationsoplysninger, der var forkert gemt i pod-miljøvariabler.
  • Udnyttelse af disse legitimationsoplysninger via Cloud SQL Auth Proxy til at få adgang til produktionsdatabasen og udføre SQL-kommandoer, der ændrede brugerkonti, herunder nulstilling af adgangskoder og opdateringer af multifaktor-godkendelsesseeds for flere værdifulde konti.

Disse manipulationer tillod i sidste ende angriberne at kontrollere kompromitterede konti og med succes hæve flere millioner dollars i kryptovaluta.

Sikkerhedsmæssige konsekvenser af dataoverførsler på tværs af miljøer

Hændelsen fremhæver adskillige kritiske sikkerhedssvagheder, der almindeligvis findes i moderne cloud-native miljøer. Mekanismer for dataoverførsel mellem personlige enheder, f.eks. AirDrop, kan utilsigtet omgå virksomhedens sikkerhedskontroller, hvilket gør det muligt for malware, der er introduceret på personlige enheder, at nå virksomhedens systemer.

Yderligere risikofaktorer omfattede brugen af privilegerede containertilstande, utilstrækkelig segmentering mellem arbejdsbelastninger og usikker lagring af følsomme legitimationsoplysninger i miljøvariabler. Hver af disse svagheder øgede indtrængningens eksplosionsradius, da angriberne først fik fodfæste.

Defensive strategier til at afbøde lignende trusler

Organisationer, der driver cloudbaserede infrastrukturer, især dem, der administrerer finansielle aktiver eller kryptovaluta, skal implementere lagdelte defensive kontroller, der adresserer både endpoint- og cloudrisici.

Effektive afbødende foranstaltninger omfatter:

  • Implementering af kontekstbevidst adgangskontrol og phishing-resistent multifaktor-godkendelse.
  • Sikring af, at kun betroede og verificerede containerbilleder implementeres i cloudmiljøer.
  • Isolering af kompromitterede noder og forhindring af, at de etablerer forbindelser med eksterne værter.
  • Overvågning af containermiljøer for uventede processer eller unormal runtime-adfærd.
  • Implementering af robuste praksisser for håndtering af hemmeligheder for at eliminere lagring af legitimationsoplysninger i miljøvariabler.
  • Håndhævelse af endpoint-politikker, der deaktiverer eller begrænser peer-to-peer-filoverførsler, f.eks. AirDrop eller Bluetooth, og forhindrer montering af ikke-administrerede eksterne medier på virksomhedens enheder.

En omfattende og dybdegående forsvarsstrategi, der validerer identitet, begrænser ukontrollerede dataoverførselsveje og håndhæver streng runtime-isolation i cloud-miljøer, kan reducere virkningen af lignende avancerede indtrængningskampagner betydeligt.

Trending

Mest sete

Indlæser...