Kampania na rzecz naruszenia zasad chmury UNC4899

Do Mezo w Zaawansowane trwałe zagrożenie (APT)

Przetłumacz na:

Wyrafinowany atak cybernetyczny z 2025 roku został powiązany z północnokoreańskim cyberprzestępcą UNC4899, grupą podejrzaną o zorganizowanie ataku na dużą skalę na organizację kryptowalutową, w wyniku którego doszło do kradzieży milionów dolarów w aktywach cyfrowych. Kampanię z umiarkowanym prawdopodobieństwem przypisano temu państwowemu przeciwnikowi, który jest również śledzony pod kilkoma innymi nazwami, takimi jak Jade Sleet, PUKCHONG, Slow Pisces i TraderTraitor.

Incydent wyróżnia się wielowarstwową metodologią. Atakujący połączyli socjotechnikę z wykorzystaniem mechanizmów przesyłania danych peer-to-peer między użytkownikami a firmami, a następnie przenieśli się do infrastruktury chmurowej organizacji. Po przedostaniu się do środowiska chmurowego, legalne przepływy pracy DevOps zostały wykorzystane do gromadzenia danych uwierzytelniających, omijania granic kontenerów i manipulowania bazami danych Cloud SQL, co ułatwiło kradzież.

Spis treści

Z urządzenia osobistego do sieci korporacyjnej: początkowe zagrożenie

Atak rozpoczął się od starannie zaplanowanej kampanii socjotechnicznej. Programista pracujący w zaatakowanej organizacji został oszukany i pobrał plik archiwum prezentowany jako część legalnego projektu współpracy open source. Po pobraniu pliku na urządzenie osobiste, programista przeniósł go na stację roboczą firmy za pomocą AirDrop, nieumyślnie przekraczając granicę bezpieczeństwa między środowiskiem osobistym a korporacyjnym.

Interakcja z archiwum odbywała się za pośrednictwem zintegrowanego środowiska programistycznego (IDE) wspomaganego przez sztuczną inteligencję. Podczas tego procesu wykonywany był złośliwy kod Pythona osadzony w archiwum. Kod wdrażał plik binarny podszywający się pod narzędzie wiersza poleceń Kubernetes, co pozwalało mu sprawiać wrażenie legalnego, podczas gdy wykonywał złośliwe operacje.

Następnie plik binarny nawiązał kontakt z domeną kontrolowaną przez atakujących i działał jako tylne wejście w systemie korporacyjnym. Ten punkt zaczepienia umożliwił atakującym przejście z zainfekowanej stacji roboczej do środowiska Google Cloud organizacji, prawdopodobnie wykorzystując aktywne sesje uwierzytelniania i dostępne dane uwierzytelniające.

Po przedostaniu się do infrastruktury chmurowej atakujący rozpoczęli fazę rozpoznania mającą na celu identyfikację usług, projektów i punktów dostępu, które mogłyby zostać wykorzystane do dalszych ataków.

Eksploatacja środowiska chmurowego i eskalacja uprawnień

Na etapie rozpoznania atakujący zidentyfikowali hosta bastionowego w środowisku chmurowym. Modyfikując atrybuty zasad uwierzytelniania wieloskładnikowego hosta, uzyskali nieautoryzowany dostęp. Umożliwiło to głębsze działania rozpoznawcze, w tym nawigację do konkretnych podów w środowisku Kubernetes.

Następnie atakujący przeszli na strategię działania w chmurze, polegając głównie na legalnych narzędziach i konfiguracjach chmurowych, a nie na zewnętrznym złośliwym oprogramowaniu. Trwałość została osiągnięta poprzez modyfikację konfiguracji wdrożenia Kubernetesa tak, aby złośliwe polecenie bash było automatycznie wykonywane za każdym razem, gdy tworzone były nowe kontenery. To polecenie pobierało i wdrażało furtkę, zapewniając ciągły dostęp.

Oto niektóre z kluczowych działań podjętych przez sprawcę zagrożenia podczas ataku:

Modyfikacja zasobów Kubernetes powiązanych z platformą CI/CD organizacji w celu wstrzykiwania poleceń, które ujawniały tokeny kont usługowych w dziennikach systemowych.
Zdobycie tokena powiązanego z kontem usługi CI/CD o wysokich uprawnieniach, umożliwiającego eskalację uprawnień i ruch boczny w kierunku kontenera odpowiedzialnego za zasady sieciowe i równoważenie obciążenia.
Użycie skradzionego tokena do uwierzytelnienia się w wrażliwym infrastrukturze działającej w trybie uprzywilejowanym, ucieczka ze środowiska kontenerowego i zainstalowanie trwałego tylnego wejścia.
Przeprowadzenie dodatkowego rozpoznania przed objęciem stanowiska odpowiedzialnego za zarządzanie informacjami o klientach, w tym tożsamościami użytkowników, szczegółami bezpieczeństwa kont i danymi portfeli kryptowalutowych.
Wyodrębnianie statycznych poświadczeń bazy danych, które zostały nieprawidłowo zapisane w zmiennych środowiskowych kontenera.
Wykorzystanie tych danych uwierzytelniających za pośrednictwem serwera proxy uwierzytelniania Cloud SQL w celu uzyskania dostępu do bazy danych produkcyjnej i wykonywania poleceń SQL, które modyfikują konta użytkowników, w tym resetowania haseł i aktualizowania wartości początkowych uwierzytelniania wieloskładnikowego dla kilku kont o wysokiej wartości.

Manipulacje te ostatecznie pozwoliły atakującym przejąć kontrolę nad zagrożonymi kontami i wypłacić kilka milionów dolarów w kryptowalucie.

Konsekwencje bezpieczeństwa transferów danych między środowiskami

Incydent ten uwypukla kilka krytycznych luk w zabezpieczeniach, powszechnie występujących we współczesnych środowiskach chmurowych. Mechanizmy przesyłania danych peer-to-peer między użytkownikami a firmami, takie jak AirDrop, mogą nieumyślnie ominąć zabezpieczenia przedsiębiorstwa, umożliwiając złośliwemu oprogramowaniu wprowadzonemu na urządzenia osobiste przedostanie się do systemów korporacyjnych.

Dodatkowe czynniki ryzyka obejmowały użycie uprzywilejowanych trybów kontenerowych, niewystarczającą segmentację między obciążeniami oraz niezabezpieczone przechowywanie poufnych danych uwierzytelniających w zmiennych środowiskowych. Każda z tych słabości zwiększała promień rażenia włamania po uzyskaniu przez atakujących początkowego punktu zaczepienia.

Strategie obronne łagodzące podobne zagrożenia

Organizacje korzystające z infrastruktury opartej na chmurze, zwłaszcza te zarządzające aktywami finansowymi lub kryptowalutami, muszą wdrożyć wielowarstwowe środki kontroli obronnej, które uwzględnią zarówno ryzyko związane z punktami końcowymi, jak i z chmurą.

Skuteczne środki łagodzące obejmują:

Wdrażanie kontroli dostępu uwzględniających kontekst i odpornego na phishing uwierzytelniania wieloskładnikowego.
Dbamy o to, aby w środowiskach chmurowych wdrażane były wyłącznie zaufane i zweryfikowane obrazy kontenerów.
Izolowanie zagrożonych węzłów i uniemożliwianie im nawiązywania połączeń z hostami zewnętrznymi.
Monitorowanie środowisk kontenerowych pod kątem nieoczekiwanych procesów lub nietypowego zachowania w czasie wykonywania.
Wdrożenie skutecznych praktyk zarządzania sekretami w celu wyeliminowania konieczności przechowywania danych uwierzytelniających w zmiennych środowiskowych.
Egzekwowanie zasad dotyczących punktów końcowych, które wyłączają lub ograniczają transfery plików typu peer-to-peer, np. AirDrop lub Bluetooth, oraz zapobiegają montowaniu niezarządzanych nośników zewnętrznych na urządzeniach firmowych.

Kompleksowa strategia obrony dogłębnej, która weryfikuje tożsamość, ogranicza niekontrolowane ścieżki transferu danych i egzekwuje ścisłą izolację środowiska wykonawczego w środowiskach chmurowych, może znacznie ograniczyć skutki podobnych zaawansowanych kampanii włamań.

Procesor płatności Digital River GmbH firmy EnigmaSoft ogłasza upadłość, nie wpływając na ochronę antymalware klientów SpyHunter

Szukaj

Zmieniać region

Kampania na rzecz naruszenia zasad chmury UNC4899

Z urządzenia osobistego do sieci korporacyjnej: początkowe zagrożenie

Eksploatacja środowiska chmurowego i eskalacja uprawnień

Konsekwencje bezpieczeństwa transferów danych między środowiskami

Strategie obronne łagodzące podobne zagrożenia

Prześlij komentarz

Popularne

BuP1w Ransomware

0apt Locker Ransomware

Critical-service.cc

Najczęściej oglądane

Jak naprawić błąd „Sterownik drukarki jest niedostępny”

Jak naprawić „macOS nie może zweryfikować, czy ta...

Discord pokazuje czarny ekran podczas udostępniania...