Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) Campagna UNC4899 Cloud Compromise

Campagna UNC4899 Cloud Compromise

Entro Mezo nel Minaccia persistente avanzata (APT)
Traduci in:

Una sofisticata intrusione informatica avvenuta nel 2025 è stata collegata al gruppo criminale nordcoreano UNC4899, sospettato di aver orchestrato un attacco su larga scala a un'organizzazione di criptovalute che ha portato al furto di milioni di dollari in asset digitali. La campagna è stata attribuita con una certa sicurezza a questo avversario sponsorizzato dallo Stato, che è rintracciato anche con diversi altri nomi, tra cui Jade Sleet, PUKCHONG, Slow Pisces e TraderTraitor.

L'incidente si distingue per la sua metodologia multilivello. Gli aggressori hanno combinato l'ingegneria sociale con lo sfruttamento di meccanismi di trasferimento dati peer-to-peer tra utenti privati e aziende, per poi infiltrarsi nell'infrastruttura cloud dell'organizzazione. Una volta all'interno dell'ambiente cloud, i flussi di lavoro DevOps legittimi sono stati sfruttati in modo improprio per raccogliere credenziali, eludere i confini dei container e manipolare i database Cloud SQL per facilitare il furto.

Dal dispositivo personale alla rete aziendale: il compromesso iniziale

L'attacco è iniziato con una campagna di ingegneria sociale accuratamente studiata. Uno sviluppatore che lavorava all'interno dell'organizzazione presa di mira è stato indotto con l'inganno a scaricare un file di archivio presentato come parte di un legittimo progetto di collaborazione open source. Dopo aver scaricato il file su un dispositivo personale, lo sviluppatore lo ha trasferito su una workstation aziendale tramite AirDrop, colmando involontariamente un confine di sicurezza tra l'ambiente personale e quello aziendale.

L'interazione con l'archivio è avvenuta tramite un ambiente di sviluppo integrato (IDE) assistito da intelligenza artificiale. Durante questo processo, è stato eseguito codice Python dannoso incorporato nell'archivio. Il codice ha implementato un binario camuffato da strumento da riga di comando di Kubernetes, che gli ha permesso di apparire legittimo mentre eseguiva operazioni dannose.

Il file binario ha quindi contattato un dominio controllato dagli aggressori e ha funzionato come backdoor all'interno del sistema aziendale. Questo punto d'appoggio ha consentito agli aggressori di passare dalla workstation compromessa all'ambiente Google Cloud dell'organizzazione, probabilmente sfruttando sessioni autenticate attive e credenziali accessibili.

Una volta all'interno dell'infrastruttura cloud, gli aggressori hanno avviato una fase di ricognizione volta a identificare servizi, progetti e punti di accesso che potrebbero essere sfruttati per ulteriori compromissioni.

Sfruttamento dell’ambiente cloud ed escalation dei privilegi

Durante la fase di ricognizione, gli aggressori hanno identificato un bastion host all'interno dell'ambiente cloud. Modificando l'attributo della policy di autenticazione a più fattori dell'host, è stato ottenuto un accesso non autorizzato. Questo accesso ha consentito attività di ricognizione più approfondite, inclusa la navigazione verso specifici pod all'interno dell'ambiente Kubernetes.

Gli aggressori sono quindi passati a una strategia "living off-the-cloud", affidandosi principalmente a strumenti e configurazioni cloud legittimi piuttosto che a malware esterni. La persistenza è stata stabilita modificando le configurazioni di distribuzione di Kubernetes in modo che un comando bash dannoso venisse eseguito automaticamente ogni volta che venivano creati nuovi pod. Questo comando recuperava e distribuiva una backdoor, garantendo l'accesso continuo.

Le principali azioni eseguite dall'autore della minaccia durante la compromissione includevano:

  • Modifica delle risorse Kubernetes associate alla piattaforma CI/CD dell'organizzazione per inserire comandi che espongano i token degli account di servizio nei registri di sistema.
  • Acquisizione di un token collegato a un account di servizio CI/CD altamente privilegiato, che consente l'escalation dei privilegi e lo spostamento laterale verso un pod responsabile delle policy di rete e del bilanciamento del carico.
  • Utilizzo del token rubato per autenticarsi in un pod di infrastruttura sensibile che opera in modalità privilegiata, uscendo dall'ambiente del container e installando una backdoor persistente.
  • Eseguire ulteriori ricognizioni prima di prendere di mira un carico di lavoro responsabile della gestione delle informazioni dei clienti, tra cui identità degli utenti, dettagli sulla sicurezza degli account e dati del portafoglio di criptovalute.
  • Estrazione delle credenziali del database statico che erano state archiviate in modo non corretto nelle variabili di ambiente del pod.
  • Sfruttando tali credenziali tramite Cloud SQL Auth Proxy per accedere al database di produzione ed eseguire comandi SQL che hanno modificato gli account utente, tra cui reimpostazioni delle password e aggiornamenti dei seed di autenticazione a più fattori per diversi account di alto valore.

Queste manipolazioni hanno infine permesso agli aggressori di controllare gli account compromessi e di prelevare con successo diversi milioni di dollari in criptovaluta.

Implicazioni sulla sicurezza dei trasferimenti di dati tra ambienti

L'incidente evidenzia diverse vulnerabilità critiche nella sicurezza, comunemente riscontrabili nei moderni ambienti cloud-native. Meccanismi di trasferimento dati peer-to-peer tra utenti privati e aziende, come AirDrop, possono aggirare involontariamente i controlli di sicurezza aziendali, consentendo al malware introdotto sui dispositivi personali di raggiungere i sistemi aziendali.

Ulteriori fattori di rischio includevano l'uso di modalità container privilegiate, una segmentazione insufficiente tra i carichi di lavoro e l'archiviazione non sicura di credenziali sensibili nelle variabili ambientali. Ognuna di queste debolezze aumentava il raggio d'azione dell'intrusione una volta che gli aggressori avevano ottenuto un punto d'appoggio iniziale.

Strategie difensive per mitigare minacce simili

Le organizzazioni che gestiscono infrastrutture basate sul cloud, in particolare quelle che gestiscono asset finanziari o criptovalute, devono implementare controlli difensivi a più livelli che affrontino sia i rischi degli endpoint che quelli del cloud.

Le misure di mitigazione efficaci includono:

  • Implementazione di controlli di accesso contestuali e di autenticazione multifattoriale resistente al phishing.
  • Garantire che solo immagini di container affidabili e verificate vengano distribuite negli ambienti cloud.
  • Isolare i nodi compromessi e impedire loro di stabilire connessioni con host esterni.
  • Monitoraggio degli ambienti dei container per processi inattesi o comportamenti anomali in fase di esecuzione.
  • Adottare solide pratiche di gestione dei segreti per eliminare l'archiviazione delle credenziali nelle variabili di ambiente.
  • Applicazione di policy endpoint che disabilitano o limitano i trasferimenti di file peer-to-peer come AirDrop o Bluetooth e impediscono il montaggio di supporti esterni non gestiti sui dispositivi aziendali.

Una strategia di difesa completa e approfondita che convalida l'identità, limita i percorsi di trasferimento dati non controllati e impone un rigoroso isolamento in fase di esecuzione negli ambienti cloud può ridurre significativamente l'impatto di campagne di intrusione avanzate simili.

Tendenza

I più visti

Caricamento in corso...