Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) UNC4899 Skykompromitteringskampanje

UNC4899 Skykompromitteringskampanje

Med Mezo i Advanced Persistent Threat (APT)
Oversett til:

Et sofistikert cybertrusselangrep i 2025 har blitt knyttet til den nordkoreanske trusselaktøren UNC4899, en gruppe mistenkt for å ha orkestrert et storstilt kompromittering av en kryptovalutaorganisasjon som resulterte i tyveri av digitale eiendeler for millioner av dollar. Kampanjen har med moderat sikkerhet blitt tilskrevet denne statsstøttede motstanderen, som også spores under flere andre navn, inkludert Jade Sleet, PUKCHONG, Slow Pisces og TraderTraitor.

Hendelsen skiller seg ut på grunn av sin flerlags metodikk. Angriperne kombinerte sosial manipulering med utnyttelse av mekanismer for overføring av peer-to-peer-data mellom personlige og bedriftsbaserte systemer, og beveget seg senere inn i organisasjonens skyinfrastruktur. Inne i skymiljøet ble legitime DevOps-arbeidsflyter misbrukt til å samle legitimasjon, unnslippe containergrenser og manipulere Cloud SQL-databaser for å legge til rette for tyveriet.

Fra personlig enhet til bedriftsnettverk: Det første kompromisset

Angrepet startet med en nøye utformet sosial manipuleringskampanje. En utvikler som jobbet i den angrepne organisasjonen ble lurt til å laste ned en arkivfil som ble presentert som en del av et legitimt samarbeidsprosjekt med åpen kildekode. Etter å ha lastet ned filen til en personlig enhet, overførte utvikleren den til en bedriftsarbeidsstasjon ved hjelp av AirDrop, og dermed utilsiktet bygde bro over en sikkerhetsgrense mellom personlige og bedriftsmiljøer.

Samhandling med arkivet skjedde gjennom et AI-assistert integrert utviklingsmiljø (IDE). Under denne prosessen ble skadelig Python-kode innebygd i arkivet kjørt. Koden distribuerte en binærfil forkledd som Kubernetes-kommandolinjeverktøyet, slik at den kunne virke legitim mens den utførte skadelige operasjoner.

Binærfilen kontaktet deretter et domene kontrollert av angriperne og fungerte som en bakdør i bedriftssystemet. Dette fotfestet gjorde det mulig for angriperne å bevege seg fra den kompromitterte arbeidsstasjonen til organisasjonens Google Cloud-miljø, sannsynligvis ved å utnytte aktive autentiserte økter og tilgjengelig legitimasjon.

Når angriperne var inne i skyinfrastrukturen, startet de en rekognoseringsfase designet for å identifisere tjenester, prosjekter og tilgangspunkter som kunne utnyttes for ytterligere kompromisser.

Utnyttelse av skymiljø og eskalering av rettigheter

I løpet av rekognoseringsfasen identifiserte angriperne en bastionvert i skymiljøet. Ved å endre vertens flerfaktorautentiseringspolicyattributt ble det oppnådd uautorisert tilgang. Denne tilgangen muliggjorde dypere rekognoseringsaktiviteter, inkludert navigering til spesifikke poder i Kubernetes-miljøet.

Angriperne gikk deretter over til en «leve utenfor skyen»-strategi, der de primært var avhengige av legitime skyverktøy og -konfigurasjoner i stedet for ekstern skadelig programvare. Persistens ble etablert ved å endre Kubernetes-distribusjonskonfigurasjoner slik at en ondsinnet bash-kommando automatisk ville kjøres hver gang nye pods ble opprettet. Denne kommandoen hentet og distribuerte en bakdør, noe som sikret fortsatt tilgang.

Viktige handlinger utført av trusselaktøren under kompromitteringen inkluderte:

  • Endring av Kubernetes-ressurser tilknyttet organisasjonens CI/CD-plattform for å injisere kommandoer som eksponerte tjenestekontotokener i systemlogger.
  • Anskaffelse av et token knyttet til en CI/CD-tjenestekonto med høye privilegier, noe som muliggjør rettighetseskalering og lateral bevegelse mot en pod som er ansvarlig for nettverkspolicyer og lastbalansering.
  • Bruk av det stjålne tokenet til å autentisere mot en sensitiv infrastrukturpod som opererer i privilegert modus, unnslippe containermiljøet og installere en vedvarende bakdør.
  • Utføre ytterligere rekognosering før man retter seg mot en arbeidsmengde som er ansvarlig for å administrere kundeinformasjon, inkludert brukeridentiteter, kontosikkerhetsdetaljer og kryptovaluta-lommebokdata.
  • Uttrekker statiske databaselegitimasjonsinformasjon som ble lagret feil i pod-miljøvariabler.
  • Utnyttelse av disse påloggingsinformasjonene via Cloud SQL Auth Proxy for å få tilgang til produksjonsdatabasen og utføre SQL-kommandoer som endret brukerkontoer, inkludert tilbakestilling av passord og oppdateringer av flerfaktorautentiseringsfrø for flere kontoer med høy verdi.

Disse manipulasjonene til slutt tillot angriperne å kontrollere kompromitterte kontoer og ta ut flere millioner dollar i kryptovaluta.

Sikkerhetsmessige implikasjoner av dataoverføringer på tvers av miljøer

Hendelsen fremhever flere kritiske sikkerhetssvakheter som ofte finnes i moderne skybaserte miljøer. Mekanismer for dataoverføring mellom personer og bedrifter, som AirDrop, kan utilsiktet omgå sikkerhetskontroller i bedrifter, slik at skadelig programvare som er introdusert på personlige enheter, kan nå bedriftens systemer.

Ytterligere risikofaktorer inkluderte bruk av privilegerte containermoduser, utilstrekkelig segmentering mellom arbeidsbelastninger og usikker lagring av sensitiv legitimasjon i miljøvariabler. Hver av disse svakhetene økte eksplosjonsradiusen til inntrengingen da angriperne fikk et første fotfeste.

Forsvarsstrategier for å redusere lignende trusler

Organisasjoner som driver skybaserte infrastrukturer, spesielt de som administrerer finansielle eiendeler eller kryptovaluta, må implementere lagdelte defensive kontroller som adresserer både endepunkt- og skyrisikoer.

Effektive avbøtende tiltak inkluderer:

  • Implementering av kontekstbevisste tilgangskontroller og phishing-resistent flerfaktorautentisering.
  • Sørge for at kun pålitelige og verifiserte containerbilder distribueres i skymiljøer.
  • Isolere kompromitterte noder og forhindre dem i å opprette forbindelser med eksterne verter.
  • Overvåking av containermiljøer for uventede prosesser eller avvikende kjøretidsatferd.
  • Ta i bruk robuste praksiser for håndtering av hemmeligheter for å eliminere lagring av legitimasjon i miljøvariabler.
  • Håndheve endepunktpolicyer som deaktiverer eller begrenser peer-to-peer-filoverføringer som AirDrop eller Bluetooth, og forhindre montering av uadministrerte eksterne medier på bedriftsenheter.

En omfattende og grundig forsvarsstrategi som validerer identitet, begrenser ukontrollerte dataoverføringsveier og håndhever streng kjøretidsisolering i skymiljøer, kan redusere virkningen av lignende avanserte inntrengingskampanjer betydelig.

Trender

Mest sett

Laster inn...