Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) UNC4899 Kampanja za kompromitiranje oblaka

UNC4899 Kampanja za kompromitiranje oblaka

Do Mezo. Napredna trajna prijetnja (APT). godine
Prevedi na:

Sofisticirani kibernetički upad 2025. godine povezan je sa sjevernokorejskim akterom prijetnje UNC4899, skupinom za koju se sumnja da je orkestrirala veliko kompromitiranje kriptovalutne organizacije koje je rezultiralo krađom milijuna dolara digitalne imovine. Kampanja se s umjerenom pouzdanošću pripisuje ovom državno sponzoriranom protivniku, koji se prati i pod nekoliko drugih imena, uključujući Jade Sleet, PUKCHONG, Slow Pisces i TraderTraitor.

Incident se ističe zbog svoje višeslojne metodologije. Napadači su kombinirali društveni inženjering s iskorištavanjem mehanizama prijenosa podataka između osobnih i korporativnih korisnika, a kasnije su se prebacili na cloud infrastrukturu organizacije. Jednom kada su se našli unutar cloud okruženja, legitimni DevOps tijekovi rada zloupotrijebljeni su za prikupljanje vjerodajnica, izbjegavanje granica spremnika i manipuliranje Cloud SQL bazama podataka kako bi se olakšala krađa.

Od osobnog uređaja do korporativne mreže: Početni kompromis

Napad je započeo pažljivo osmišljenom kampanjom socijalnog inženjeringa. Programer koji radi unutar ciljane organizacije prevaren je da preuzme arhivsku datoteku predstavljenu kao dio legitimnog projekta otvorenog koda. Nakon preuzimanja datoteke na osobni uređaj, programer ju je prebacio na korporativnu radnu stanicu koristeći AirDrop, nenamjerno premošćujući sigurnosnu granicu između osobnog i poslovnog okruženja.

Interakcija s arhivom odvijala se putem integriranog razvojnog okruženja (IDE) potpomognutog umjetnom inteligencijom. Tijekom ovog procesa, izvršen je zlonamjerni Python kod ugrađen u arhivu. Kod je implementirao binarnu datoteku prikrivenu kao Kubernetes alat naredbenog retka, što mu je omogućilo da izgleda legitimno dok izvodi zlonamjerne operacije.

Binarna datoteka je zatim kontaktirala domenu koju kontroliraju napadači i funkcionirala je kao stražnja vrata unutar korporativnog sustava. To je omogućilo protivnicima da se prebace s kompromitirane radne stanice u Google Cloud okruženje organizacije, vjerojatno koristeći aktivne autentificirane sesije i dostupne vjerodajnice.

Nakon što su ušli unutar cloud infrastrukture, napadači su započeli fazu izviđanja osmišljenu kako bi identificirali usluge, projekte i pristupne točke koje bi se mogle iskoristiti za daljnje kompromitiranje.

Iskorištavanje okruženja u oblaku i eskalacija privilegija

Tijekom faze izviđanja, napadači su identificirali bastionski host unutar cloud okruženja. Modificiranjem atributa politike višefaktorske autentifikacije hosta postignut je neovlašteni pristup. Ovaj pristup omogućio je dublje aktivnosti izviđanja, uključujući navigaciju do određenih podova unutar Kubernetes okruženja.

Napadači su zatim prešli na strategiju života izvan oblaka, oslanjajući se prvenstveno na legitimne alate i konfiguracije u oblaku, a ne na vanjski zlonamjerni softver. Perzistentnost je uspostavljena promjenom konfiguracija implementacije Kubernetesa tako da se zlonamjerna bash naredba automatski izvršava svaki put kada se stvore novi podovi. Ova naredba je dohvatila i postavila stražnja vrata, osiguravajući kontinuirani pristup.

Ključne radnje koje je izvršio napadač tijekom kompromitacije uključuju:

  • Izmjena Kubernetes resursa povezanih s CI/CD platformom organizacije radi umetanja naredbi koje su otkrile tokene servisnih računa u sistemskim zapisnicima.
  • Nabava tokena vezanog za visoko privilegirani CI/CD servisni račun, omogućujući eskalaciju privilegija i lateralno kretanje prema podu odgovornom za mrežne politike i uravnoteženje opterećenja.
  • Korištenje ukradenog tokena za autentifikaciju na osjetljivom infrastrukturnom podu koji radi u privilegiranom načinu rada, izlazak iz okruženja kontejnera i instaliranje trajnih stražnjih vrata.
  • Provođenje dodatnog izviđanja prije ciljanja radnog opterećenja odgovornog za upravljanje podacima o klijentima, uključujući identitete korisnika, sigurnosne podatke računa i podatke o kriptovalutnim novčanicima.
  • Izdvajanje statičkih vjerodajnica baze podataka koje su nepravilno pohranjene unutar varijabli okruženja pod-a.
  • Korištenje tih vjerodajnica putem Cloud SQL Auth Proxyja za pristup produkcijskoj bazi podataka i izvršavanje SQL naredbi koje su mijenjale korisničke račune, uključujući resetiranje lozinki i ažuriranja višefaktorske autentifikacije za nekoliko visokovrijednih računa.

Ove manipulacije su u konačnici omogućile napadačima da kontroliraju kompromitirane račune i uspješno povuku nekoliko milijuna dolara u kriptovalutama.

Sigurnosne implikacije prijenosa podataka između okruženja

Incident ističe nekoliko kritičnih sigurnosnih slabosti koje se često nalaze u modernim okruženjima zasnovanim na oblaku. Mehanizmi prijenosa podataka između osobnih i korporativnih korisnika, poput AirDropa, mogu nenamjerno zaobići sigurnosne kontrole poduzeća, omogućujući zlonamjernom softveru uvedenom na osobne uređaje da dođe do korporativnih sustava.

Dodatni čimbenici rizika uključivali su korištenje privilegiranih načina rada spremnika, nedovoljnu segmentaciju između opterećenja i nesigurno pohranjivanje osjetljivih vjerodajnica u varijablama okruženja. Svaka od ovih slabosti povećala je radijus upada nakon što su napadači stekli početno uporište.

Obrambene strategije za ublažavanje sličnih prijetnji

Organizacije koje upravljaju infrastrukturom temeljenom na oblaku, posebno one koje upravljaju financijskom imovinom ili kriptovalutama, moraju implementirati slojevite obrambene kontrole koje se bave rizicima i na krajnjim točkama i u oblaku.

Učinkovite mjere ublažavanja uključuju:

  • Implementacija kontrola pristupa svjesnih konteksta i višefaktorske autentifikacije otporne na phishing.
  • Osiguravanje da se unutar okruženja u oblaku implementiraju samo pouzdane i provjerene slike spremnika.
  • Izoliranje kompromitiranih čvorova i sprječavanje uspostavljanja veza s vanjskim hostovima.
  • Praćenje okruženja kontejnera za neočekivane procese ili anomalno ponašanje tijekom izvođenja.
  • Usvajanje robusnih praksi upravljanja tajnama kako bi se eliminiralo pohranjivanje vjerodajnica u varijablama okruženja.
  • Provođenje pravila krajnjih točaka koje onemogućuju ili ograničavaju peer-to-peer prijenos datoteka kao što su AirDrop ili Bluetooth i sprječavanje montiranja neupravljanih vanjskih medija na korporativne uređaje.

Sveobuhvatna strategija dubinske obrane koja provjerava identitet, ograničava nekontrolirane putove prijenosa podataka i provodi strogu izolaciju tijekom izvođenja unutar okruženja u oblaku može značajno smanjiti utjecaj sličnih naprednih kampanja upada.

U trendu

Nagledanije

Učitavam...