Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) UNC4899 Felhőalapú kompromittálódási kampány

UNC4899 Felhőalapú kompromittálódási kampány

Mezo -ra Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy 2025-ös kifinomult kibertámadást az észak-koreai UNC4899 nevű fenyegetéssorozathoz kötnek, amely csoportot azzal gyanúsítanak, hogy nagyszabású kriptovaluta-szervezet elleni behatolást szervezett, ami több millió dollár értékű digitális eszköz ellopásához vezetett. A kampányt mérsékelt bizalommal tulajdonítják ennek az államilag támogatott ellenfélnek, amelyet több más néven is nyomon követnek, többek között Jade Sleet, PUKCHONG, Slow Pisces és TraderTraitor néven.

Az incidens többrétegű módszertanával tűnik ki. A támadók a társadalmi manipulációt a személyes és vállalati szintű peer-to-peer adatátviteli mechanizmusok kihasználásával ötvözték, majd később a szervezet felhőalapú infrastruktúrájába is beavatkoztak. A felhőalapú környezetbe belépve a legitim DevOps munkafolyamatokat visszaélve hitelesítő adatokat szereztek, megkerülték a konténerhatárokat és manipulálták a felhőalapú SQL adatbázisokat a lopás elősegítése érdekében.

Személyes eszköztől a vállalati hálózatig: a kezdeti kompromisszum

A támadás egy gondosan kidolgozott, social engineering kampánnyal kezdődött. A célzott szervezeten belül dolgozó fejlesztőt megtévesztették, hogy letöltsön egy archív fájlt, amelyet egy legitim, nyílt forráskódú együttműködési projekt részeként mutattak be. Miután a fejlesztő letöltötte a fájlt egy személyes eszközre, az AirDrop segítségével átvitte azt egy vállalati munkaállomásra, akaratlanul is áthidalva a személyes és a vállalati környezet közötti biztonsági határt.

Az archívummal való interakció egy mesterséges intelligencia által támogatott integrált fejlesztői környezeten (IDE) keresztül történt. A folyamat során az archívumba ágyazott rosszindulatú Python kódot hajtottak végre. A kód egy Kubernetes parancssori eszköznek álcázott bináris fájlt telepített, így az legitimnek tűnt, miközben rosszindulatú műveleteket hajtott végre.

A bináris fájl ezután kapcsolatba lépett a támadók által ellenőrzött domainnel, és hátsó ajtóként működött a vállalati rendszeren belül. Ez a megfosztott támadási felület lehetővé tette a támadók számára, hogy a feltört munkaállomásról a szervezet Google Cloud környezetébe lépjenek át, valószínűleg aktív hitelesített munkamenetek és hozzáférhető hitelesítő adatok kihasználásával.

Miután a támadók bejutottak a felhőinfrastruktúrába, megkezdték a felderítési fázist, amelynek célja a további behatoláshoz felhasználható szolgáltatások, projektek és hozzáférési pontok azonosítása volt.

Felhőkörnyezet kihasználása és jogosultságok eszkalációja

A felderítési szakaszban a támadók azonosítottak egy bastion hosztot a felhőkörnyezetben. A hoszt többtényezős hitelesítési házirend attribútumának módosításával jogosulatlan hozzáférést értek el. Ez a hozzáférés lehetővé tette a mélyebb felderítési tevékenységeket, beleértve a Kubernetes környezetben található adott podokhoz való navigációt.

A támadók ezután egy felhőn kívüli működésre tértek át, elsősorban legitim felhőeszközökre és konfigurációkra támaszkodva a külső rosszindulatú programok helyett. A perzisztenciát a Kubernetes telepítési konfigurációjának módosításával érték el, hogy egy rosszindulatú bash parancs automatikusan végrehajtódjon, valahányszor új podokat hoznak létre. Ez a parancs egy hátsó ajtót keresett meg és telepített, biztosítva a folyamatos hozzáférést.

A fenyegetés elkövetője által a kompromittálás során végrehajtott főbb műveletek a következők voltak:

  • A szervezet CI/CD platformjához társított Kubernetes-erőforrások módosítása olyan parancsok befecskendezésére, amelyek szolgáltatásfiók-tokeneket tettek elérhetővé a rendszernaplókban.
  • Egy magas jogosultságú CI/CD szolgáltatásfiókhoz kapcsolódó token beszerzése, amely lehetővé teszi a jogosultságok eszkalációját és az oldalirányú áthelyezést egy olyan pod felé, amely a hálózati házirendekért és a terheléselosztásért felelős.
  • Az ellopott token használata hitelesítéshez egy privilegizált módban működő érzékeny infrastruktúra-podhoz, a konténerkörnyezetből való kilépés és egy állandó hátsó ajtó telepítése.
  • További felderítés elvégzése az ügyféladatok, többek között a felhasználói azonosítók, a fiókbiztonsági adatok és a kriptovaluta-tárcaadatok kezeléséért felelős munkaterhelés megcélzása előtt.
  • Statikus adatbázis-hitelesítő adatok kinyerése, amelyek nem megfelelően voltak tárolva a pod környezeti változóin belül.
  • Ezeket a hitelesítő adatokat a Cloud SQL Auth Proxyn keresztül felhasználva hozzáférhet az éles adatbázishoz, és végrehajthat olyan SQL-parancsokat, amelyek módosították a felhasználói fiókokat, beleértve a jelszó-visszaállításokat és a többtényezős hitelesítési alapértékek frissítéseit számos nagy értékű fiók esetében.

Ezek a manipulációk végül lehetővé tették a támadók számára, hogy ellenőrizzék a feltört fiókokat, és sikeresen kivegyenek több millió dollár kriptovalutát.

A környezetek közötti adatátvitel biztonsági vonatkozásai

Az incidens számos kritikus biztonsági gyengeséget emel ki, amelyek gyakoriak a modern felhőalapú környezetekben. A személyes és vállalati szintű peer-to-peer adatátviteli mechanizmusok, mint például az AirDrop, akaratlanul is megkerülhetik a vállalati biztonsági ellenőrzéseket, lehetővé téve a személyes eszközökre telepített rosszindulatú programok eljutását a vállalati rendszerekbe.

További kockázati tényezők voltak a privilegizált konténermódok használata, a munkaterhelések közötti nem megfelelő szegmentálás és az érzékeny hitelesítő adatok nem biztonságos tárolása környezeti változókban. Ezen gyengeségek mindegyike növelte a behatolás hatótávolságát, miután a támadók megvetették a lábukat.

Védekezési stratégiák a hasonló fenyegetések enyhítésére

A felhőalapú infrastruktúrákat üzemeltető szervezeteknek, különösen azoknak, amelyek pénzügyi eszközöket vagy kriptovalutákat kezelnek, többrétegű védelmi ellenőrzéseket kell bevezetniük, amelyek mind a végpontok, mind a felhőalapú kockázatokat kezelik.

A hatékony mérséklő intézkedések a következők:

  • Kontextusfüggő hozzáférés-vezérlés és adathalászattal szemben ellenálló többtényezős hitelesítés megvalósítása.
  • Biztosítja, hogy csak megbízható és ellenőrzött konténerképek kerüljenek telepítésre a felhőalapú környezetekben.
  • A feltört csomópontok elkülönítése és a külső gazdagépekkel való kapcsolatfelvétel megakadályozása.
  • Konténerkörnyezetek monitorozása váratlan folyamatok vagy rendellenes futásidejű viselkedés szempontjából.
  • Robusztus titkkezelési gyakorlatok bevezetése a hitelesítő adatok környezeti változókban történő tárolásának kiküszöbölésére.
  • Olyan végponti házirendek betartatása, amelyek letiltják vagy korlátozzák a peer-to-peer fájlátvitelt, például az AirDropot vagy a Bluetooth-ot, és megakadályozzák a nem felügyelt külső adathordozók vállalati eszközökre való csatlakoztatását.

Egy átfogó, mélyreható védelmi stratégia, amely érvényesíti az identitást, korlátozza az ellenőrizetlen adatátviteli útvonalakat és szigorú futásidejű elkülönítést érvényesít a felhőalapú környezetekben, jelentősen csökkentheti a hasonló fejlett behatolási kampányok hatását.

Felkapott

Legnézettebb

Betöltés...