Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) UNC4899 mākoņa kompromitēšanas kampaņa

UNC4899 mākoņa kompromitēšanas kampaņa

Līdz Mezo. gadam Advanced Persistent Threat (APT). gadā
Tulkot uz:

Sarežģīta kiberielaušanās 2025. gadā ir saistīta ar Ziemeļkorejas apdraudējuma izpildītāju UNC4899 – grupu, kas tiek turēta aizdomās par plaša mēroga kriptovalūtas organizācijas kompromitēšanas organizēšanu, kuras rezultātā tika nozagti miljoniem dolāru digitālo aktīvu. Kampaņa ar mērenu pārliecību tiek piedēvēta šim valsts sponsorētajam pretiniekam, kas tiek izsekots arī ar vairākiem citiem nosaukumiem, tostarp Jade Sleet, PUKCHONG, Slow Pisces un TraderTraitor.

Šis incidents izceļas ar savu daudzslāņaino metodoloģiju. Uzbrucēji apvienoja sociālo inženieriju ar personīgo un korporatīvo vienādranga datu pārsūtīšanas mehānismu izmantošanu un vēlāk pārgāja uz organizācijas mākoņinfrastruktūru. Nonākot mākoņvidē, likumīgas DevOps darbplūsmas tika ļaunprātīgi izmantotas, lai iegūtu akreditācijas datus, apietu konteineru robežas un manipulētu ar mākoņa SQL datubāzēm, lai atvieglotu zādzību.

No personīgās ierīces līdz korporatīvajam tīklam: sākotnējais kompromiss

Uzbrukums sākās ar rūpīgi izstrādātu sociālās inženierijas kampaņu. Izstrādātājs, kas strādāja mērķa organizācijā, tika maldināts, lai lejupielādētu arhīva failu, kas tika uzrādīts kā daļa no likumīga atvērtā pirmkoda sadarbības projekta. Pēc faila lejupielādes personīgajā ierīcē izstrādātājs to pārsūtīja uz korporatīvo darbstaciju, izmantojot AirDrop, netīši pārkāpjot drošības robežu starp personīgo un uzņēmuma vidi.

Mijiedarbība ar arhīvu notika, izmantojot mākslīgā intelekta atbalstītu integrēto izstrādes vidi (IDE). Šī procesa laikā tika izpildīts arhīvā iegults ļaunprātīgs Python kods. Kods izvietoja bināro failu, kas bija maskēts kā Kubernetes komandrindas rīks, ļaujot tam izskatīties likumīgam, vienlaikus veicot ļaunprātīgas darbības.

Pēc tam binārais fails sazinājās ar uzbrucēju kontrolētu domēnu un darbojās kā aizmugurējās durvis korporatīvajā sistēmā. Šī ietekme ļāva pretiniekiem pārslēgties no apdraudētās darbstacijas uz organizācijas Google Cloud vidi, visticamāk, izmantojot aktīvas autentificētas sesijas un pieejamus akreditācijas datus.

Nonākot mākoņinfrastruktūrā, uzbrucēji uzsāka izlūkošanas fāzi, kuras mērķis bija identificēt pakalpojumus, projektus un piekļuves punktus, kurus varētu izmantot turpmākai kompromitēšanai.

Mākoņvides izmantošana un privilēģiju eskalācija

Izlūkošanas posmā uzbrucēji mākoņvidē identificēja bastiona resursdatoru. Modificējot resursdatora daudzfaktoru autentifikācijas politikas atribūtu, tika panākta nesankcionēta piekļuve. Šī piekļuve ļāva veikt padziļinātas izlūkošanas darbības, tostarp navigāciju uz konkrētiem podiem Kubernetes vidē.

Pēc tam uzbrucēji pārgāja uz darbības ārpus mākoņa stratēģiju, galvenokārt paļaujoties uz likumīgiem mākoņa rīkiem un konfigurācijām, nevis ārēju ļaunprogrammatūru. Noturība tika nodrošināta, mainot Kubernetes izvietošanas konfigurācijas tā, lai ļaunprātīga bash komanda automātiski tiktu izpildīta ikreiz, kad tiktu izveidoti jauni podi. Šī komanda izguva un izvietoja aizmugurējās durvis, nodrošinot nepārtrauktu piekļuvi.

Galvenās darbības, ko apdraudējuma izraisītājs veica kompromitēšanas laikā, ietvēra:

  • Ar organizācijas CI/CD platformu saistīto Kubernetes resursu modificēšana, lai ievadītu komandas, kas sistēmas žurnālos atklāja pakalpojumu konta žetonus.
  • Iegūstot marķieri, kas saistīts ar ļoti privilēģiju pārvaldītās informācijas apmaiņas (CI/CD) pakalpojuma kontu, iespējojot privilēģiju eskalāciju un horizontālu pārvietošanos uz podu, kas atbild par tīkla politikām un slodzes līdzsvarošanu.
  • Nozagtā tokena izmantošana, lai autentificētos sensitīvā infrastruktūras nodalījumā, kas darbojas privileģētā režīmā, iziešana no konteinera vides un pastāvīgas aizmugurējās durvis instalēšana.
  • Papildu izpētes veikšana pirms darba slodzes, kas ir atbildīga par klientu informācijas, tostarp lietotāju identitātes, konta drošības informācijas un kriptovalūtas maka datu, pārvaldību, noteikšanas.
  • Nepareizi saglabāto statisko datubāzes akreditācijas datu izgūšana pod vides mainīgajos.
  • Izmantojot šos akreditācijas datus, izmantojot mākoņa SQL autentifikācijas starpniekserveri, lai piekļūtu ražošanas datubāzei un izpildītu SQL komandas, kas modificēja lietotāju kontus, tostarp paroļu atiestatīšanu un daudzfaktoru autentifikācijas sākotnējo vērtību atjaunināšanu vairākiem augstas vērtības kontiem.

Šīs manipulācijas galu galā ļāva uzbrucējiem kontrolēt kompromitētus kontus un veiksmīgi izņemt vairākus miljonus dolāru kriptovalūtā.

Starpvides datu pārsūtīšanas drošības ietekme

Šis incidents izceļ vairākus kritiskus drošības trūkumus, kas bieži sastopami mūsdienu mākoņdatošanas vidēs. Personisko un korporatīvo datu pārsūtīšanas mehānismi, piemēram, AirDrop, var netīši apiet uzņēmuma drošības kontroles, ļaujot personīgajās ierīcēs ieviestai ļaunprogrammatūrai sasniegt korporatīvās sistēmas.

Papildu riska faktori ietvēra privileģētu konteineru režīmu izmantošanu, nepietiekamu darba slodžu segmentāciju un sensitīvu akreditācijas datu nedrošu glabāšanu vides mainīgajos. Katrs no šiem trūkumiem palielināja ielaušanās rādiusu, tiklīdz uzbrucēji ieguva sākotnējo ietekmi.

Aizsardzības stratēģijas līdzīgu draudu mazināšanai

Organizācijām, kas pārvalda mākoņdatošanas infrastruktūras, īpaši tām, kas pārvalda finanšu aktīvus vai kriptovalūtu, ir jāievieš daudzslāņu aizsardzības kontroles, kas risina gan galapunktu, gan mākoņa riskus.

Efektīvi mazināšanas pasākumi ietver:

  • Kontekstatkarīgu piekļuves kontroles mehānismu un pret pikšķerēšanu izturīgas daudzfaktoru autentifikācijas ieviešana.
  • Nodrošināt, ka mākoņvidē tiek izvietoti tikai uzticami un pārbaudīti konteineru attēli.
  • Apdraudētu mezglu izolēšana un to savienojumu ar ārējiem resursdatoriem neļaušana tiem izveidot savienojumus.
  • Konteineru vides uzraudzība, lai konstatētu negaidītus procesus vai anomālu izpildlaika darbību.
  • Stabilu noslēpumu pārvaldības prakšu ieviešana, lai novērstu akreditācijas datu glabāšanu vides mainīgajos.
  • Tādu galapunktu politiku ieviešana, kas atspējo vai ierobežo vienādranga failu pārsūtīšanu, piemēram, AirDrop vai Bluetooth, un neļauj pievienot nepārvaldītus ārējos datu nesējus korporatīvajām ierīcēm.

Visaptveroša padziļinātas aizsardzības stratēģija, kas apstiprina identitāti, ierobežo nekontrolētus datu pārsūtīšanas ceļus un nodrošina stingru izpildlaika izolāciju mākoņvidē, var ievērojami samazināt līdzīgu uzlabotu ielaušanās kampaņu ietekmi.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
21,503
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...