Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) UNC4899 Cloud Compromise-campagne

UNC4899 Cloud Compromise-campagne

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een geavanceerde cyberaanval in 2025 wordt in verband gebracht met de Noord-Koreaanse terreurgroep UNC4899, een groep die ervan verdacht wordt een grootschalige inbreuk op een cryptovaluta-organisatie te hebben georganiseerd, waarbij miljoenen dollars aan digitale activa werden gestolen. De campagne wordt met redelijke zekerheid toegeschreven aan deze door de staat gesteunde tegenstander, die ook onder verschillende andere namen bekendstaat, waaronder Jade Sleet, PUKCHONG, Slow Pisces en TraderTraitor.

Het incident valt op door de gelaagde methodologie. De aanvallers combineerden social engineering met het misbruiken van mechanismen voor gegevensoverdracht tussen privé- en bedrijfsnetwerken en wisten vervolgens toegang te krijgen tot de cloudinfrastructuur van de organisatie. Eenmaal binnen de cloudomgeving werden legitieme DevOps-workflows misbruikt om inloggegevens te bemachtigen, containergrenzen te omzeilen en Cloud SQL-databases te manipuleren om de diefstal mogelijk te maken.

Van persoonlijk apparaat naar bedrijfsnetwerk: de eerste inbreuk

De aanval begon met een zorgvuldig opgezette social engineering-campagne. Een ontwikkelaar binnen de doelwitorganisatie werd misleid om een archiefbestand te downloaden dat werd gepresenteerd als onderdeel van een legitiem open-source samenwerkingsproject. Nadat het bestand naar een persoonlijk apparaat was gedownload, zette de ontwikkelaar het via AirDrop over naar een werkstation van het bedrijf, waardoor onbedoeld een beveiligingsbarrière tussen de persoonlijke en de bedrijfsomgeving werd overbrugd.

De interactie met het archief vond plaats via een door AI ondersteunde Integrated Development Environment (IDE). Tijdens dit proces werd kwaadaardige Python-code, die in het archief was ingebed, uitgevoerd. De code implementeerde een binair bestand dat vermomd was als de Kubernetes-opdrachtregeltool, waardoor het legitiem leek terwijl het kwaadaardige handelingen uitvoerde.

Het binaire bestand maakte vervolgens contact met een domein dat door de aanvallers werd beheerd en fungeerde als een backdoor binnen het bedrijfssysteem. Deze toegangspoort stelde de aanvallers in staat om vanuit het gecompromitteerde werkstation toegang te krijgen tot de Google Cloud-omgeving van de organisatie, waarschijnlijk gebruikmakend van actieve geauthenticeerde sessies en toegankelijke inloggegevens.

Eenmaal binnen de cloudinfrastructuur begonnen de aanvallers aan een verkenningsfase om diensten, projecten en toegangspunten te identificeren die konden worden misbruikt voor verdere inbreuken.

Exploitatie van cloudomgevingen en privilege-escalatie

Tijdens de verkenningsfase identificeerden de aanvallers een bastionhost in de cloudomgeving. Door het multi-factor authenticatiebeleid van de host aan te passen, werd ongeautoriseerde toegang verkregen. Deze toegang maakte uitgebreidere verkenningsactiviteiten mogelijk, waaronder het navigeren naar specifieke pods binnen de Kubernetes-omgeving.

De aanvallers schakelden vervolgens over op een strategie waarbij ze volledig afhankelijk waren van de cloud, en voornamelijk gebruik maakten van legitieme cloudtools en -configuraties in plaats van externe malware. Persistentie werd bereikt door Kubernetes-implementatieconfiguraties aan te passen, zodat een kwaadaardig bash-commando automatisch werd uitgevoerd telkens wanneer nieuwe pods werden aangemaakt. Dit commando haalde een backdoor op en implementeerde deze, waardoor continue toegang werd gewaarborgd.

De belangrijkste acties die de aanvaller tijdens de inbreuk heeft uitgevoerd, waren onder meer:

  • Het aanpassen van Kubernetes-resources die gekoppeld zijn aan het CI/CD-platform van de organisatie om commando's te injecteren die serviceaccounttokens in systeemlogboeken blootlegden.
  • Het verkrijgen van een token gekoppeld aan een zeer bevoorrecht CI/CD-serviceaccount, waardoor privilege-escalatie en laterale verplaatsing naar een pod die verantwoordelijk is voor netwerkbeleid en load balancing mogelijk wordt.
  • Het gestolen token gebruiken om in te loggen op een gevoelige infrastructuur-pod die in geprivilegieerde modus draait, de containeromgeving te verlaten en een permanente backdoor te installeren.
  • Het uitvoeren van aanvullende verkenningen voordat een taak wordt uitgevoerd die verantwoordelijk is voor het beheren van klantgegevens, waaronder gebruikersidentiteiten, accountbeveiligingsgegevens en gegevens van cryptovalutaportefeuilles.
  • Het extraheren van statische databasegegevens die onjuist waren opgeslagen in omgevingsvariabelen van de pod.
  • Door deze inloggegevens via de Cloud SQL Auth Proxy te gebruiken, kreeg men toegang tot de productiedatabase en werden SQL-opdrachten uitgevoerd die gebruikersaccounts wijzigden, waaronder het resetten van wachtwoorden en het bijwerken van de multifactorauthenticatie-seeds voor verschillende accounts met een hoge waarde.

Deze manipulaties stelden de aanvallers uiteindelijk in staat om de gecompromitteerde accounts over te nemen en met succes miljoenen dollars aan cryptovaluta op te nemen.

Beveiligingsimplicaties van gegevensoverdracht tussen verschillende omgevingen

Het incident legt diverse kritieke beveiligingslekken bloot die vaak voorkomen in moderne cloudomgevingen. Mechanismen voor gegevensoverdracht tussen privé- en bedrijfsapparaten, zoals AirDrop, kunnen onbedoeld de beveiligingsmaatregelen van een bedrijf omzeilen, waardoor malware die op persoonlijke apparaten is geïntroduceerd, toegang krijgt tot bedrijfssystemen.

Bijkomende risicofactoren waren onder meer het gebruik van geprivilegieerde containermodi, onvoldoende segmentatie tussen workloads en onveilige opslag van gevoelige inloggegevens in omgevingsvariabelen. Elk van deze zwakke punten vergrootte de impact van de inbraak zodra de aanvallers een eerste toegangspunt hadden bemachtigd.

Verdedigingsstrategieën om soortgelijke bedreigingen te beperken

Organisaties die gebruikmaken van cloudgebaseerde infrastructuren, met name diegenen die financiële activa of cryptovaluta beheren, moeten gelaagde beveiligingsmaatregelen implementeren die zowel endpoint- als cloudrisico's aanpakken.

Effectieve maatregelen om de gevolgen te beperken zijn onder meer:

  • Het implementeren van contextbewuste toegangscontroles en phishingbestendige meerfactorauthenticatie.
  • Ervoor zorgen dat alleen vertrouwde en geverifieerde containerimages in cloudomgevingen worden ingezet.
  • Gecompromitteerde knooppunten isoleren en voorkomen dat ze verbindingen met externe hosts tot stand brengen.
  • Het monitoren van containeromgevingen op onverwachte processen of afwijkend runtimegedrag.
  • Het implementeren van robuuste methoden voor het beheer van geheimen om het opslaan van inloggegevens in omgevingsvariabelen te elimineren.
  • Het afdwingen van eindpuntbeleid dat peer-to-peer bestandsoverdrachten zoals AirDrop of Bluetooth uitschakelt of beperkt, en het voorkomen van het koppelen van onbeheerde externe media aan bedrijfsapparaten.

Een alomvattende, gelaagde verdedigingsstrategie die identiteit valideert, ongecontroleerde gegevensoverdracht beperkt en strikte runtime-isolatie afdwingt binnen cloudomgevingen, kan de impact van soortgelijke geavanceerde inbraakcampagnes aanzienlijk verminderen.

Trending

Meest bekeken

Bezig met laden...