Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Išplėstinė nuolatinė grėsmė (APT) UNC4899 debesijos kompromitavimo kampanija

UNC4899 debesijos kompromitavimo kampanija

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Sudėtingas kibernetinis įsilaužimas, įvykdytas 2025 m., buvo susietas su Šiaurės Korėjos grėsmės veikėju UNC4899 – grupe, įtariama organizavus didelio masto kriptovaliutų organizacijos įsilaužimą, dėl kurio buvo pavogta milijonų dolerių vertės skaitmeninio turto. Kampanija su vidutiniu pasitikėjimu siejama su šiuo valstybės remiamu priešininku, kuris taip pat sekamas keliais kitais slapyvardžiais, įskaitant „Jade Sleet“, „PUKCHONG“, „Slow Pisces“ ir „TraderTraitor“.

Šis incidentas išsiskiria dėl savo daugiasluoksnės metodologijos. Užpuolikai derino socialinę inžineriją su asmeninių ir įmonių tarpusavio duomenų perdavimo mechanizmų išnaudojimu ir vėliau persikėlė į organizacijos debesijos infrastruktūrą. Patekę į debesijos aplinką, teisėti „DevOps“ darbo eigos buvo piktnaudžiaujamos siekiant surinkti prisijungimo duomenis, apeiti konteinerių ribas ir manipuliuoti debesijos SQL duomenų bazėmis, siekiant palengvinti vagystę.

Nuo asmeninio įrenginio iki įmonės tinklo: pradinis kompromisas

Ataka prasidėjo nuo kruopščiai parengtos socialinės inžinerijos kampanijos. Programuotojas, dirbantis taikinio organizacijoje, buvo apgautas ir priverstas atsisiųsti archyvo failą, pateiktą kaip teisėto atvirojo kodo bendradarbiavimo projekto dalį. Atsisiuntęs failą į asmeninį įrenginį, kūrėjas perkėlė jį į įmonės darbo stotį naudodamas „AirDrop“, netyčia peržengdamas saugumo ribą tarp asmeninės ir įmonės aplinkų.

Sąveika su archyvu vyko per dirbtinio intelekto padedamą integruotą kūrimo aplinką (IDE). Šio proceso metu buvo vykdomas į archyvą įdėtas kenkėjiškas „Python“ kodas. Kode buvo panaudotas dvejetainis failas, užmaskuotas kaip „Kubernetes“ komandinės eilutės įrankis, todėl atliekant kenkėjiškas operacijas jis atrodė teisėtas.

Tada dvejetainis failas susisiekė su užpuolikų kontroliuojamu domenu ir veikė kaip užpakalinės durys įmonės sistemoje. Ši įsitvirtinimo vieta leido priešininkams pereiti iš pažeistos darbo stoties į organizacijos „Google Cloud“ aplinką, greičiausiai pasinaudojant aktyviomis autentifikuotomis sesijomis ir prieinamais prisijungimo duomenimis.

Patekę į debesijos infrastruktūrą, užpuolikai pradėjo žvalgybos etapą, skirtą nustatyti paslaugas, projektus ir prieigos taškus, kuriuos būtų galima panaudoti tolesniam įsilaužimui.

Debesų aplinkos išnaudojimas ir privilegijų eskalavimas

Žvalgybos etape užpuolikai debesies aplinkoje identifikavo bastioninį pagrindinį kompiuterį. Pakeitus pagrindinio kompiuterio daugiafaktorio autentifikavimo politikos atributą, buvo gauta neteisėta prieiga. Ši prieiga leido atlikti gilesnę žvalgybą, įskaitant navigaciją į konkrečius „ankštis“ „Kubernetes“ aplinkoje.

Tuomet užpuolikai perėjo prie veiklos debesyje, daugiausia remdamiesi teisėtais debesies įrankiais ir konfigūracijomis, o ne išorinėmis kenkėjiškomis programomis. Nuolatinė prieiga buvo užtikrinta pakeičiant „Kubernetes“ diegimo konfigūracijas taip, kad kenkėjiška „bash“ komanda būtų automatiškai vykdoma kaskart, kai sukuriami nauji „ankstukai“. Ši komanda atrado ir įdiegė galines duris, užtikrindama nuolatinę prieigą.

Pagrindiniai grėsmės vykdytojo atlikti veiksmai kompromitavimo metu:

  • Su organizacijos CI/CD platforma susietų „Kubernetes“ išteklių modifikavimas, siekiant įterpti komandas, kurios sistemos žurnaluose atskleidė paslaugos paskyros prieigos raktus.
  • Gauti prieigos raktą, susietą su itin privilegijuota CI/CD paslaugos paskyra, leidžiantį didinti privilegijas ir jas perkelti į atskirą padalinį, atsakingą už tinklo strategijas ir apkrovos balansavimą.
  • Pavogto prieigos rakto panaudojimas autentifikavimui jautrioje infrastruktūros ankštyje, veikiančioje privilegijuotu režimu, išėjimas iš konteinerio aplinkos ir nuolatinių galinių durų įdiegimas.
  • Papildomos žvalgybos atlikimas prieš taikant darbo krūvį, atsakingą už klientų informacijos, įskaitant naudotojų tapatybes, paskyros saugumo informaciją ir kriptovaliutos piniginės duomenis, valdymą.
  • Išgaunami statiniai duomenų bazės kredencialai, kurie buvo netinkamai saugomi pod aplinkos kintamuosiuose.
  • Naudojant šiuos prisijungimo duomenis per „Cloud SQL Auth Proxy“, galima pasiekti gamybinę duomenų bazę ir vykdyti SQL komandas, kurios modifikavo vartotojų paskyras, įskaitant slaptažodžių nustatymą iš naujo ir kelių veiksnių autentifikavimo pradmenų atnaujinimus kelioms didelės vertės paskyroms.

Šios manipuliacijos galiausiai leido užpuolikams kontroliuoti pažeistas paskyras ir sėkmingai išgryninti kelis milijonus dolerių kriptovaliutos.

Duomenų perdavimo tarp aplinkų saugumo pasekmės

Šis incidentas išryškina keletą kritinių saugumo spragų, dažnai sutinkamų šiuolaikinėse debesijos pagrindu sukurtose aplinkose. Asmeninių ir įmonių tarpusavio duomenų perdavimo mechanizmai, tokie kaip „AirDrop“, gali netyčia apeiti įmonės saugumo kontrolę, leisdami asmeniniuose įrenginiuose įdiegtai kenkėjiškai programai pasiekti įmonės sistemas.

Papildomi rizikos veiksniai buvo privilegijuotų konteinerių režimų naudojimas, nepakankamas segmentavimas tarp darbo krūvių ir nesaugus jautrių prisijungimo duomenų saugojimas aplinkos kintamuosiuose. Kiekvienas iš šių silpnųjų vietų padidino įsilaužimo spindulį, kai užpuolikai įgijo pradinę poziciją.

Gynybinės strategijos panašioms grėsmėms sušvelninti

Organizacijos, valdančios debesijos infrastruktūras, ypač tos, kurios valdo finansinį turtą ar kriptovaliutą, privalo įdiegti daugiasluoksnes gynybos kontrolės priemones, kurios spręstų tiek galinių įrenginių, tiek debesijos riziką.

Veiksmingos švelninimo priemonės apima:

  • Įdiekite kontekstą suvokiančias prieigos kontrolės priemones ir sukčiavimui atsparų daugiafaktorinį autentifikavimą.
  • Užtikrinti, kad debesies aplinkose būtų diegiami tik patikimi ir patikrinti konteinerių atvaizdai.
  • Izoliuoti pažeistus mazgus ir neleisti jiems užmegzti ryšio su išoriniais kompiuteriais.
  • Konteinerių aplinkos stebėjimas ieškant netikėtų procesų arba anomalios veikimo vykdymo metu.
  • Tvirtų paslapčių valdymo praktikų taikymas, siekiant panaikinti kredencialų saugojimą aplinkos kintamuosiuose.
  • Įgyvendinti galinių įrenginių politiką, kuri išjungia arba riboja failų perdavimą tarp lygiaverčių įrenginių, pvz., per „AirDrop“ ar „Bluetooth“, ir neleidžia prijungti nevaldomų išorinių laikmenų įmonės įrenginiuose.

Išsami gynybos strategija, kuri patvirtina tapatybę, riboja nekontroliuojamus duomenų perdavimo kelius ir užtikrina griežtą izoliaciją vykdymo metu debesijos aplinkose, gali gerokai sumažinti panašių pažangių įsilaužimo kampanijų poveikį.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
21,503
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...