Monen lisenssin alennustarjous
Uhatietokanta Advanced Persistent Threat (APT) UNC4899-pilvipalveluiden kompromissikampanja

UNC4899-pilvipalveluiden kompromissikampanja

Vuonna Mezo vuonna Advanced Persistent Threat (APT)
Käännä:

Vuonna 2025 tapahtunut hienostunut kyberhyökkäys on yhdistetty pohjoiskorealaiseen uhkatoimijaan UNC4899, ryhmään, jota epäillään kryptovaluuttaorganisaation laajamittaisesta tietomurrosta, joka johti miljoonien dollarien arvosta digitaalisten omaisuuserien varastamiseen. Kampanja on kohtuullisella varmuudella liitetty tähän valtion tukemaan vastustajaan, jota seurataan myös useilla muilla nimillä, kuten Jade Sleet, PUKCHONG, Slow Pisces ja TraderTraitor.

Tapaus erottuu joukosta monikerroksisen menetelmänsä ansiosta. Hyökkääjät yhdistivät sosiaalisen manipuloinnin henkilökohtaisten ja yritysten välisten vertaisverkkojen tiedonsiirtomekanismien hyödyntämiseen ja siirtyivät myöhemmin organisaation pilvi-infrastruktuuriin. Pilviympäristössä laillisia DevOps-työnkulkuja käytettiin väärin tunnistetietojen keräämiseen, konttien rajojen ohittamiseen ja pilvipohjaisten SQL-tietokantojen manipulointiin varkauden helpottamiseksi.

Henkilökohtaisesta laitteesta yritysverkkoon: Alustava kompromissi

Hyökkäys alkoi huolellisesti suunnitellulla sosiaalisen manipuloinnin kampanjalla. Kohteena olleessa organisaatiossa työskentelevää kehittäjää huijattiin lataamaan arkistotiedosto, joka esiteltiin osana laillista avoimen lähdekoodin yhteistyöprojektia. Ladattuaan tiedoston henkilökohtaiselle laitteelleen kehittäjä siirsi sen yrityksen työasemalle AirDropin avulla, rikkoen tahattomasti henkilökohtaisen ja yritysympäristön välisen tietoturvarajan.

Arkiston kanssa tehtiin vuorovaikutusta tekoälyavusteisen integroidun kehitysympäristön (IDE) kautta. Tämän prosessin aikana suoritettiin arkistoon upotettua haitallista Python-koodia. Koodi otti käyttöön Kubernetes-komentorivityökaluksi naamioidun binääritiedoston, minkä ansiosta se näytti lailliselta, vaikka se suoritti haitallisia toimintoja.

Binääritiedosto otti sitten yhteyden hyökkääjien hallitsemaan verkkotunnukseen ja toimi takaovena yritysjärjestelmän sisällä. Tämä jalansija mahdollisti hyökkääjien siirtymisen vaarantuneelta työasemalta organisaation Google Cloud -ympäristöön, todennäköisesti hyödyntäen aktiivisia todennettuja istuntoja ja saatavilla olevia tunnistetietoja.

Päästyään pilvi-infrastruktuuriin hyökkääjät aloittivat tiedusteluvaiheen, jonka tarkoituksena oli tunnistaa palveluita, projekteja ja tukiasemia, joita voitaisiin hyödyntää lisähyökkäyksissä.

Pilviympäristön hyödyntäminen ja etuoikeuksien laajentaminen

Tiedusteluvaiheessa hyökkääjät tunnistivat pilviympäristöstä linnakeisännän. Muokkaamalla isännän monivaiheisen todennuskäytännön ominaisuutta saavutettiin luvaton pääsy. Tämä pääsy mahdollisti syvällisemmät tiedustelutoiminnot, mukaan lukien navigoinnin tiettyihin podeihin Kubernetes-ympäristössä.

Hyökkääjät siirtyivät sitten pilvestä riippumattomaan strategiaan, jossa he käyttivät ensisijaisesti laillisia pilvityökaluja ja -määrityksiä ulkoisten haittaohjelmien sijaan. Pysyvyys varmistettiin muuttamalla Kubernetesin käyttöönottomäärityksiä siten, että haitallinen bash-komento suoritettiin automaattisesti aina, kun uusia podeja luotiin. Tämä komento haki ja otti käyttöön takaportin, mikä varmisti jatkuvan pääsyn.

Uhkatoimijan keskeisiä toimia tietomurron aikana olivat:

  • Organisaation CI/CD-alustaan liittyvien Kubernetes-resurssien muokkaaminen siten, että niihin lisätään komentoja, jotka paljastivat palvelutilin tunnuksia järjestelmälokeissa.
  • Hankitaan erittäin etuoikeutettuun CI/CD-palvelutiliin liitetty token, mikä mahdollistaa oikeuksien eskaloinnin ja sivuttaisen siirron verkkokäytännöistä ja kuormituksen tasapainotuksesta vastaavaan podiin.
  • Varastetun tunnuksen käyttäminen todentamiseen etuoikeutetussa tilassa toimivaan arkaluontoiseen infrastruktuuriyksikköön, poistuminen säilöympäristöstä ja pysyvän takaoven asentaminen.
  • Lisätutkimuksen suorittaminen ennen kuin kohdistetaan työmäärään, joka vastaa asiakastietojen, kuten käyttäjätunnusten, tilin suojaustietojen ja kryptovaluuttalompakoiden tietojen, hallinnasta.
  • Pod-ympäristömuuttujiin virheellisesti tallennettujen staattisten tietokannan tunnistetietojen purkaminen.
  • Hyödyntämällä näitä tunnistetietoja Cloud SQL Auth Proxyn kautta tuotantotietokantaan pääsemiseksi ja käyttäjätilejä muokanneiden SQL-komentojen suorittamiseksi, mukaan lukien salasanan palautus ja monivaiheisen todennuksen alkuarvojen päivitykset useille arvokkaille tileille.

Näiden manipulointien ansiosta hyökkääjät pääsivät lopulta hallitsemaan vaarantuneita tilejä ja nostamaan onnistuneesti useita miljoonia dollareita kryptovaluuttoja.

Ympäristöjen välisten tiedonsiirtojen tietoturvavaikutukset

Tapaus tuo esiin useita kriittisiä tietoturvaheikkouksia, joita esiintyy yleisesti nykyaikaisissa pilvinatiiveissa ympäristöissä. Henkilökohtaisten ja yritysten välisten vertaisverkkojen tiedonsiirtomekanismit, kuten AirDrop, voivat tahattomasti ohittaa yrityksen tietoturvakontrollit, jolloin henkilökohtaisille laitteille asennetut haittaohjelmat pääsevät yrityksen järjestelmiin.

Muita riskitekijöitä olivat etuoikeutettujen säilötilojen käyttö, työkuormien riittämätön segmentointi ja arkaluonteisten tunnistetietojen suojaamaton tallennus ympäristömuuttujiin. Jokainen näistä heikkouksista lisäsi tunkeutumisen sädettä, kun hyökkääjät saivat alustavan jalansijan.

Puolustusstrategiat samankaltaisten uhkien lieventämiseksi

Pilvipohjaisia infrastruktuureja ylläpitävien organisaatioiden, erityisesti rahoitusvaroja tai kryptovaluuttaa hallinnoivien, on otettava käyttöön kerrostettuja puolustustoimenpiteitä, jotka käsittelevät sekä päätepiste- että pilviriskejä.

Tehokkaisiin lieventämistoimenpiteisiin kuuluvat:

  • Kontekstitietoisten käyttöoikeuksien hallinnan ja tietojenkalastelulta suojatun monivaiheisen todennuksen käyttöönotto.
  • Varmistamme, että pilviympäristöissä otetaan käyttöön vain luotettavia ja varmennettuja säilökuvia.
  • Vaarantuneiden solmujen eristäminen ja niiden yhteyksien estäminen ulkoisiin isäntiin.
  • Säiliöympäristöjen valvonta odottamattomien prosessien tai poikkeavan ajonaikaisen toiminnan varalta.
  • Vankkojen salaisuuksien hallintakäytäntöjen käyttöönotto tunnistetietojen tallentamisen poistamiseksi ympäristömuuttujista.
  • Valvotaan päätelaitekäytäntöjä, jotka poistavat käytöstä tai rajoittavat vertaisverkkojen tiedostonsiirtoja, kuten AirDropia tai Bluetoothia, ja estävät hallitsemattomien ulkoisten tallennusvälineiden asentamisen yrityksen laitteisiin.

Kattava, syvällinen puolustusstrategia, joka vahvistaa henkilöllisyyden, rajoittaa hallitsemattomia tiedonsiirtoreittejä ja valvoo tiukkaa ajonaikaista eristämistä pilviympäristöissä, voi merkittävästi vähentää vastaavien edistyneiden tunkeutumiskampanjoiden vaikutusta.

Trendaavat

Eniten katsottu

Ladataan...