הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) קמפיין UNC4899 לפריצת ענן

קמפיין UNC4899 לפריצת ענן

עד Mezo ב-איום מתמשך מתקדם (APT)
לתרגם ל:

פריצה קיברנטית מתוחכמת בשנת 2025 נקשרה לשחקן האיום הצפון קוריאני UNC4899, קבוצה החשודה בתכנון פריצה בקנה מידה גדול לארגון מטבעות קריפטוגרפיים שהובילה לגניבת נכסים דיגיטליים בשווי מיליוני דולרים. הקמפיין יוחס בביטחון בינוני ליריב זה בחסות המדינה, שעוקב אחריו גם תחת מספר שמות אחרים, כולל Jade Sleet, PUKKCHONG, Slow Pisces ו-TraderTraitor.

התקרית בולטת בזכות המתודולוגיה הרב-שכבתית שלה. התוקפים שילבו הנדסה חברתית עם ניצול מנגנוני העברת נתונים בין אנשים פרטיים לארגונים, ובהמשך עברו לתשתית הענן של הארגון. לאחר שנכנסו לסביבת הענן, זרימות עבודה לגיטימיות של DevOps נוצלו לרעה כדי לאסוף אישורים, להתחמק מגבולות קונטיינרים ולמניפולציה של מסדי נתונים של Cloud SQL כדי להקל על הגניבה.

ממכשיר אישי לרשת ארגונית: הפשרה הראשונית

ההתקפה החלה בקמפיין הנדסה חברתית מתוכנן בקפידה. מפתח שעבד בארגון המטרה הוטעה והוריד קובץ ארכיון שהוצג כחלק מפרויקט שיתוף פעולה לגיטימי בקוד פתוח. לאחר הורדת הקובץ למכשיר אישי, המפתח העביר אותו לתחנת עבודה ארגונית באמצעות AirDrop, ובכך גישר שלא במתכוון על גבול אבטחה בין סביבות אישיות לסביבות ארגוניות.

האינטראקציה עם הארכיון התרחשה באמצעות סביבת פיתוח משולבת (IDE) בסיוע בינה מלאכותית. במהלך תהליך זה, בוצע קוד Python זדוני שהוטמע בארכיון. הקוד פרס קובץ בינארי במסווה של כלי שורת הפקודה של Kubernetes, מה שאפשר לו להיראות לגיטימי בעת ביצוע פעולות זדוניות.

לאחר מכן, הקובץ הבינארי יצר קשר עם דומיין בשליטת התוקפים ותפקד כדלת אחורית בתוך המערכת הארגונית. דריסת רגל זו אפשרה ליריבים לעבור מתחנת העבודה שנפרצה לסביבת Google Cloud של הארגון, ככל הנראה תוך ניצול הפעלות מאומתות פעילות ופרטי גישה נגישים.

לאחר שנכנסו לתשתית הענן, התוקפים החלו בשלב סיור שנועד לזהות שירותים, פרויקטים ונקודות גישה שניתן למנף לפריצה נוספת.

ניצול סביבת ענן והסלמת הרשאות

במהלך שלב הסיור, התוקפים זיהו מארח בסיס (bastion host) בתוך סביבת הענן. על ידי שינוי תכונת מדיניות האימות הרב-גורמי (multi-factor authentication) של המארח, הושגה גישה לא מורשית. גישה זו אפשרה פעילויות סיור מעמיקות יותר, כולל ניווט לפודים ספציפיים בתוך סביבת Kubernetes.

לאחר מכן, התוקפים עברו לאסטרטגיה של חיים מחוץ לענן, תוך הסתמכות בעיקר על כלי ענן ותצורות לגיטימיים ולא על תוכנות זדוניות חיצוניות. עמידות הגישה נוצרה על ידי שינוי תצורות הפריסה של Kubernetes כך שפקודת bash זדונית תבוצע אוטומטית בכל פעם שנוצרו פודים חדשים. פקודה זו אחזרה ופרסה דלת אחורית, מה שהבטיח גישה מתמשכת.

פעולות מרכזיות שבוצעו על ידי גורם האיום במהלך הפריצה כללו:

  • שינוי משאבי Kubernetes המשויכים לפלטפורמת CI/CD של הארגון כדי להחדיר פקודות שחשפו אסימוני חשבון שירות ביומני המערכת.
  • רכישת אסימון הקשור לחשבון שירות CI/CD בעל הרשאות גבוהות, המאפשרת הסלמת הרשאות ותנועה רוחבית לעבר פוד האחראי על מדיניות רשת ואיזון עומסים.
  • שימוש באסימון גנוב לאימות מול פוד תשתית רגיש הפועל במצב פריבילגי, בריחה מסביבת המכולה והתקנת דלת אחורית מתמשכת.
  • ביצוע סיור נוסף לפני מיקוד בעומס עבודה האחראי על ניהול פרטי לקוחות, כולל זהויות משתמשים, פרטי אבטחת חשבון ונתוני ארנקי מטבעות קריפטוגרפיים.
  • חילוץ אישורי מסד נתונים סטטיים שאוחסנו בצורה לא נכונה בתוך משתני סביבת הפוד.
  • מינוף אישורים אלה דרך Cloud SQL Auth Proxy כדי לגשת למסד הנתונים של הייצור ולהפעיל פקודות SQL ששינו חשבונות משתמשים, כולל איפוס סיסמאות ועדכונים של מערכות אימות רב-גורמיות עבור מספר חשבונות בעלי ערך גבוה.

מניפולציות אלו אפשרו בסופו של דבר לתוקפים לשלוט בחשבונות שנפרצו ולמשוך בהצלחה כמה מיליוני דולרים במטבעות קריפטוגרפיים.

השלכות אבטחה של העברות נתונים בין סביבות

התקרית מדגישה מספר חולשות אבטחה קריטיות הנמצאות בדרך כלל בסביבות ענן מודרניות. מנגנוני העברת נתונים בין אנשים פרטיים לארגונים, כמו AirDrop, יכולים לעקוף בטעות את בקרות האבטחה של הארגון, ולאפשר לתוכנות זדוניות המוכנסות למכשירים אישיים להגיע למערכות הארגוניות.

גורמי סיכון נוספים כללו שימוש במצבי מכולות פריבילגיים, פילוח לא מספק בין עומסי עבודה ואחסון לא מאובטח של אישורים רגישים במשתני סביבה. כל אחת מהחולשות הללו הגדילה את רדיוס הפיצוץ של הפריצה לאחר שהתוקפים השיגו דריסת רגל ראשונית.

אסטרטגיות הגנה למתן איומים דומים

ארגונים המפעילים תשתיות מבוססות ענן, במיוחד אלו המנהלים נכסים פיננסיים או מטבעות קריפטוגרפיים, חייבים ליישם בקרות הגנה רב-שכבתיות המטפלות הן בסיכוני נקודות הקצה והן בסיכוני ענן.

אמצעי הפחתה יעילים כוללים:

  • יישום בקרות גישה תומכות הקשר ואימות רב-גורמי עמיד בפני פישינג.
  • הבטחה שרק תמונות מכולות מהימנות ומאומתות ייפרסו בסביבות ענן.
  • בידוד צמתים שנפגעו ומניעת יצירת קשרים שלהם עם מארחים חיצוניים.
  • ניטור סביבות מכולות לאיתור תהליכים בלתי צפויים או התנהגות חריגה בזמן ריצה.
  • אימוץ שיטות ניהול סודות חזקות כדי לבטל את הצורך באחסון אישורים במשתני סביבה.
  • אכיפת מדיניות נקודות קצה אשר מבטלות או מגבילות העברות קבצים בין עמיתים כגון AirDrop או Bluetooth ומניעת התקנת מדיה חיצונית לא מנוהלת על מכשירים ארגוניים.

אסטרטגיית הגנה מקיפה לעומק, אשר מאמתת זהות, מגבילה נתיבי העברת נתונים בלתי מבוקרים ואוכפת בידוד קפדני בזמן ריצה בסביבות ענן, יכולה להפחית משמעותית את ההשפעה של קמפיינים דומים של חדירות מתקדמות.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
21,503
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...