کمپین نفوذ به فضای ابری UNC4899

یک نفوذ سایبری پیچیده در سال ۲۰۲۵ به گروه UNC4899، عامل تهدید کره شمالی، مرتبط دانسته شده است. این گروه مظنون به سازماندهی یک حمله سایبری گسترده به یک سازمان ارز دیجیتال است که منجر به سرقت میلیون‌ها دلار دارایی دیجیتال شده است. این کمپین با اطمینان متوسط به این دشمن تحت حمایت دولت نسبت داده شده است که با نام‌های دیگری از جمله Jade Sleet، PUKCHONG، Slow Pisces و TraderTraitor نیز ردیابی می‌شود.

این حادثه به دلیل روش‌شناسی چندلایه‌اش برجسته است. مهاجمان مهندسی اجتماعی را با سوءاستفاده از سازوکارهای انتقال داده نظیر به نظیر از شخص به شرکت ترکیب کردند و بعداً به زیرساخت ابری سازمان روی آوردند. پس از ورود به محیط ابری، از گردش‌های کاری قانونی DevOps برای برداشت اعتبارنامه‌ها، فرار از مرزهای کانتینر و دستکاری پایگاه‌های داده SQL ابری برای تسهیل سرقت سوءاستفاده شد.

از دستگاه شخصی تا شبکه شرکتی: سازش اولیه

این حمله با یک کمپین مهندسی اجتماعیِ با دقت طراحی‌شده آغاز شد. یک توسعه‌دهنده که در سازمان هدف کار می‌کرد، فریب خورد و یک فایل آرشیو را که به عنوان بخشی از یک پروژه همکاری متن‌بازِ قانونی ارائه شده بود، دانلود کرد. پس از دانلود فایل روی دستگاه شخصی، توسعه‌دهنده آن را با استفاده از AirDrop به یک ایستگاه کاری شرکتی منتقل کرد و ناخواسته مرز امنیتی بین محیط‌های شخصی و سازمانی را از بین برد.

تعامل با آرشیو از طریق یک محیط توسعه یکپارچه (IDE) با پشتیبانی هوش مصنوعی انجام شد. در طول این فرآیند، کد پایتون مخرب جاسازی شده در آرشیو اجرا شد. این کد یک فایل باینری را که به عنوان ابزار خط فرمان Kubernetes پنهان شده بود، اجرا کرد و به آن اجازه داد تا در حین انجام عملیات مخرب، قانونی به نظر برسد.

سپس این فایل باینری به دامنه‌ای که توسط مهاجمان کنترل می‌شد، متصل شد و به عنوان یک در پشتی در سیستم شرکت عمل کرد. این پایگاه به مهاجمان اجازه داد تا از ایستگاه کاری آسیب‌دیده به محیط Google Cloud سازمان منتقل شوند و احتمالاً از جلسات فعال احراز هویت شده و اعتبارنامه‌های قابل دسترسی استفاده کنند.

مهاجمان پس از ورود به زیرساخت ابری، مرحله شناسایی را آغاز کردند که برای شناسایی سرویس‌ها، پروژه‌ها و نقاط دسترسی که می‌توانستند برای نفوذ بیشتر مورد استفاده قرار گیرند، طراحی شده بود.

بهره‌برداری از محیط ابری و افزایش سطح دسترسی

در طول مرحله شناسایی، مهاجمان یک میزبان باستین را در محیط ابری شناسایی کردند. با تغییر ویژگی سیاست احراز هویت چند عاملی میزبان، دسترسی غیرمجاز حاصل شد. این دسترسی، فعالیت‌های شناسایی عمیق‌تری را امکان‌پذیر کرد، از جمله ناوبری به پادهای خاص در محیط Kubernetes.

سپس مهاجمان به یک استراتژی زندگی خارج از فضای ابری روی آوردند و عمدتاً به ابزارها و پیکربندی‌های ابری قانونی به جای بدافزارهای خارجی متکی بودند. پایداری با تغییر پیکربندی‌های استقرار Kubernetes ایجاد شد، به طوری که یک دستور bash مخرب به طور خودکار هر زمان که پادهای جدید ایجاد می‌شدند، اجرا می‌شد. این دستور یک در پشتی را بازیابی و مستقر می‌کرد و دسترسی مداوم را تضمین می‌کرد.

اقدامات کلیدی انجام شده توسط عامل تهدید در طول نفوذ شامل موارد زیر بود:

• اصلاح منابع Kubernetes مرتبط با پلتفرم CI/CD سازمان برای تزریق دستوراتی که توکن‌های حساب سرویس را در لاگ‌های سیستم نمایش می‌دهند.
• به دست آوردن یک توکن متصل به یک حساب کاربری سرویس CI/CD با سطح دسترسی بالا، که امکان افزایش سطح دسترسی و حرکت جانبی به سمت یک Pod مسئول سیاست‌های شبکه و متعادل‌سازی بار را فراهم می‌کند.
• استفاده از توکن دزدیده شده برای احراز هویت در یک Pod زیرساخت حساس که در حالت ممتاز (privileged mode) کار می‌کند، فرار از محیط کانتینر و نصب یک درب پشتی (backdoor) مداوم.
• انجام شناسایی‌های بیشتر قبل از هدف قرار دادن حجم کاری مسئول مدیریت اطلاعات مشتری، از جمله هویت کاربر، جزئیات امنیتی حساب و داده‌های کیف پول ارز دیجیتال.
• استخراج اعتبارنامه‌های پایگاه داده استاتیک که به طور نامناسبی در متغیرهای محیطی pod ذخیره شده‌اند.
• استفاده از این اعتبارنامه‌ها از طریق Cloud SQL Auth Proxy برای دسترسی به پایگاه داده عملیاتی و اجرای دستورات SQL که حساب‌های کاربری را تغییر می‌دهند، از جمله تنظیم مجدد رمز عبور و به‌روزرسانی‌های احراز هویت چند عاملی برای چندین حساب کاربری با ارزش بالا.

این دستکاری‌ها در نهایت به مهاجمان اجازه داد تا حساب‌های کاربری آسیب‌دیده را کنترل کرده و با موفقیت چندین میلیون دلار ارز دیجیتال را برداشت کنند.

پیامدهای امنیتی انتقال داده‌ها بین محیطی

این حادثه چندین نقطه ضعف امنیتی حیاتی را که معمولاً در محیط‌های ابری مدرن یافت می‌شوند، برجسته می‌کند. مکانیسم‌های انتقال داده نظیر به نظیر از شخص به شرکت مانند AirDrop می‌توانند ناخواسته کنترل‌های امنیتی سازمانی را دور بزنند و به بدافزارهای معرفی شده در دستگاه‌های شخصی اجازه دهند تا به سیستم‌های شرکتی دسترسی پیدا کنند.

عوامل خطر دیگر شامل استفاده از حالت‌های کانتینر با امتیاز ویژه، تقسیم‌بندی ناکافی بین بارهای کاری و ذخیره‌سازی ناامن اعتبارنامه‌های حساس در متغیرهای محیطی بود. هر یک از این نقاط ضعف، شعاع نفوذ را پس از اینکه مهاجمان جای پای اولیه خود را پیدا کردند، افزایش داد.

استراتژی‌های دفاعی برای کاهش تهدیدات مشابه

سازمان‌هایی که زیرساخت‌های مبتنی بر ابر را اداره می‌کنند، به ویژه آن‌هایی که دارایی‌های مالی یا ارزهای دیجیتال را مدیریت می‌کنند، باید کنترل‌های دفاعی لایه‌ای را پیاده‌سازی کنند که هم خطرات نقطه پایانی و هم خطرات ابری را برطرف کند.

اقدامات مؤثر برای کاهش اثرات عبارتند از:

• پیاده‌سازی کنترل‌های دسترسی آگاه از متن و احراز هویت چند عاملی مقاوم در برابر فیشینگ.
• اطمینان از اینکه فقط تصاویر کانتینرهای قابل اعتماد و تأیید شده در محیط‌های ابری مستقر می‌شوند.
• ایزوله کردن گره‌های آسیب‌پذیر و جلوگیری از برقراری ارتباط آنها با میزبان‌های خارجی.
• نظارت بر محیط‌های کانتینر برای فرآیندهای غیرمنتظره یا رفتارهای غیرعادی در زمان اجرا.
• اتخاذ شیوه‌های قوی مدیریت اسرار برای از بین بردن ذخیره اعتبارنامه‌ها در متغیرهای محیطی.
• اعمال سیاست‌های نقطه پایانی که انتقال فایل نظیر به نظیر مانند AirDrop یا بلوتوث را غیرفعال یا محدود می‌کند و از نصب رسانه‌های خارجی مدیریت نشده روی دستگاه‌های شرکت جلوگیری می‌کند.

یک استراتژی جامع دفاع در عمق که هویت را تأیید می‌کند، مسیرهای انتقال داده کنترل نشده را محدود می‌کند و جداسازی دقیق زمان اجرا را در محیط‌های ابری اعمال می‌کند، می‌تواند تأثیر کمپین‌های نفوذ پیشرفته مشابه را به میزان قابل توجهی کاهش دهد.