Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Kempen Kompromi Awan UNC4899

Kempen Kompromi Awan UNC4899

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Satu pencerobohan siber yang canggih pada tahun 2025 telah dikaitkan dengan pelaku ancaman Korea Utara UNC4899, sebuah kumpulan yang disyaki mengatur kompromi berskala besar organisasi mata wang kripto yang mengakibatkan kecurian berjuta-juta dolar dalam aset digital. Kempen ini telah dikaitkan dengan keyakinan sederhana kepada musuh yang ditaja oleh negara ini, yang juga dikesan di bawah beberapa nama lain, termasuk Jade Sleet, PUKCHONG, Slow Pisces dan TraderTraitor.

Insiden ini menonjol kerana metodologinya yang berbilang lapisan. Penyerang menggabungkan kejuruteraan sosial dengan eksploitasi mekanisme pemindahan data rakan sebaya ke rakan peribadi dan kemudiannya beralih ke infrastruktur awan organisasi. Sebaik sahaja berada di dalam persekitaran awan, aliran kerja DevOps yang sah telah disalahgunakan untuk mendapatkan kelayakan, melarikan diri daripada sempadan kontena dan memanipulasi pangkalan data Cloud SQL bagi memudahkan kecurian.

Daripada Peranti Peribadi kepada Rangkaian Korporat: Kompromi Awal

Serangan itu bermula dengan kempen kejuruteraan sosial yang direka dengan teliti. Seorang pembangun yang bekerja dalam organisasi sasaran telah ditipu untuk memuat turun fail arkib yang dibentangkan sebagai sebahagian daripada projek kolaborasi sumber terbuka yang sah. Selepas memuat turun fail tersebut ke peranti peribadi, pembangun memindahkannya ke stesen kerja korporat menggunakan AirDrop, secara tidak sengaja merapatkan sempadan keselamatan antara persekitaran peribadi dan perusahaan.

Interaksi dengan arkib berlaku melalui Persekitaran Pembangunan Bersepadu (IDE) yang dibantu oleh AI. Semasa proses ini, kod Python berniat jahat yang terbenam dalam arkib telah dilaksanakan. Kod tersebut menggunakan binari yang menyamar sebagai alat baris arahan Kubernetes, yang membolehkannya kelihatan sah semasa menjalankan operasi berniat jahat.

Binari tersebut kemudiannya menghubungi domain yang dikawal oleh penyerang dan berfungsi sebagai pintu belakang dalam sistem korporat. Pijakan ini membolehkan musuh beralih dari stesen kerja yang dikompromi ke persekitaran Google Cloud organisasi, kemungkinan besar memanfaatkan sesi pengesahan aktif dan kelayakan yang boleh diakses.

Sebaik sahaja berada di dalam infrastruktur awan, penyerang memulakan fasa peninjauan yang direka untuk mengenal pasti perkhidmatan, projek dan titik akses yang boleh dimanfaatkan untuk kompromi selanjutnya.

Eksploitasi Persekitaran Awan dan Peningkatan Keistimewaan

Semasa peringkat peninjauan, penyerang mengenal pasti hos benteng dalam persekitaran awan. Dengan mengubah suai atribut dasar pengesahan berbilang faktor hos, akses tanpa kebenaran telah dicapai. Akses ini membolehkan aktiviti peninjauan yang lebih mendalam, termasuk navigasi ke pod tertentu dalam persekitaran Kubernetes.

Penyerang kemudian beralih kepada strategi hidup di luar awan, bergantung terutamanya pada alat dan konfigurasi awan yang sah dan bukannya perisian hasad luaran. Kegigihan diwujudkan dengan mengubah konfigurasi penggunaan Kubernetes supaya arahan bash yang berniat jahat akan dilaksanakan secara automatik setiap kali pod baharu dicipta. Perintah ini mengambil dan menggunakan pintu belakang, memastikan akses berterusan.

Tindakan utama yang dilakukan oleh pelaku ancaman semasa kompromi termasuk:

  • Mengubah suai sumber Kubernetes yang berkaitan dengan platform CI/CD organisasi untuk menyuntik arahan yang mendedahkan token akaun perkhidmatan dalam log sistem.
  • Memperoleh token yang terikat dengan akaun perkhidmatan CI/CD yang sangat istimewa, membolehkan peningkatan keistimewaan dan pergerakan lateral ke arah pod yang bertanggungjawab untuk dasar rangkaian dan pengimbangan beban.
  • Menggunakan token yang dicuri untuk mengesahkan pod infrastruktur sensitif yang beroperasi dalam mod istimewa, keluar dari persekitaran kontena dan memasang pintu belakang yang berterusan.
  • Menjalankan peninjauan tambahan sebelum menyasarkan beban kerja yang bertanggungjawab mengurus maklumat pelanggan, termasuk identiti pengguna, butiran keselamatan akaun dan data dompet mata wang kripto.
  • Mengekstrak kelayakan pangkalan data statik yang disimpan secara tidak betul dalam pembolehubah persekitaran pod.
  • Memanfaatkan kelayakan tersebut melalui Cloud SQL Auth Proxy untuk mengakses pangkalan data pengeluaran dan melaksanakan arahan SQL yang mengubah suai akaun pengguna, termasuk tetapan semula kata laluan dan kemas kini pada benih pengesahan berbilang faktor untuk beberapa akaun bernilai tinggi.

Manipulasi ini akhirnya membolehkan penyerang mengawal akaun yang dikompromi dan berjaya mengeluarkan beberapa juta dolar dalam mata wang kripto.

Implikasi Keselamatan Pemindahan Data Merentas Alam Sekitar

Insiden itu mengetengahkan beberapa kelemahan keselamatan kritikal yang biasa ditemui dalam persekitaran awan moden. Mekanisme pemindahan data rakan sebaya ke rakan korporat seperti AirDrop boleh memintas kawalan keselamatan perusahaan secara tidak sengaja, membolehkan perisian hasad yang diperkenalkan pada peranti peribadi mencapai sistem korporat.

Faktor risiko tambahan termasuk penggunaan mod kontena istimewa, segmentasi yang tidak mencukupi antara beban kerja dan penyimpanan kelayakan sensitif yang tidak selamat dalam pembolehubah persekitaran. Setiap kelemahan ini meningkatkan jejari letupan pencerobohan sebaik sahaja penyerang mendapat kedudukan awal.

Strategi Pertahanan untuk Mengurangkan Ancaman Serupa

Organisasi yang mengendalikan infrastruktur berasaskan awan, terutamanya yang menguruskan aset kewangan atau mata wang kripto, mesti melaksanakan kawalan pertahanan berlapis yang menangani risiko titik akhir dan awan.

Langkah-langkah mitigasi yang berkesan termasuk:

  • Melaksanakan kawalan akses yang peka konteks dan pengesahan berbilang faktor yang tahan pancingan data.
  • Memastikan hanya imej kontena yang dipercayai dan disahkan digunakan dalam persekitaran awan.
  • Mengasingkan nod yang terjejas dan menghalangnya daripada mewujudkan sambungan dengan hos luaran.
  • Memantau persekitaran kontena untuk proses yang tidak dijangka atau tingkah laku masa jalan yang anomali.
  • Mengguna pakai amalan pengurusan rahsia yang mantap untuk menghapuskan penyimpanan kelayakan dalam pembolehubah persekitaran.
  • Menguatkuasakan dasar titik akhir yang melumpuhkan atau menyekat pemindahan fail rakan ke rakan seperti AirDrop atau Bluetooth dan menghalang pemasangan media luaran yang tidak diurus pada peranti korporat.

Strategi pertahanan mendalam yang komprehensif yang mengesahkan identiti, menyekat laluan pemindahan data yang tidak terkawal dan menguatkuasakan pengasingan masa jalan yang ketat dalam persekitaran awan dapat mengurangkan kesan kempen pencerobohan lanjutan yang serupa dengan ketara.

Trending

Paling banyak dilihat

Memuatkan...