Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Campanha UNC4899 sobre comprometimento da nuvem

Campanha UNC4899 sobre comprometimento da nuvem

Por Mezo em Ameaça Persistente Avançada (APT)
Traduzir Para:

Uma sofisticada intrusão cibernética em 2025 foi associada ao grupo de ameaças norte-coreano UNC4899, suspeito de orquestrar uma invasão em larga escala de uma organização de criptomoedas, resultando no roubo de milhões de dólares em ativos digitais. A campanha foi atribuída, com um grau moderado de certeza, a esse adversário patrocinado pelo Estado, que também é rastreado sob diversos outros nomes, incluindo Jade Sleet, PUKCHONG, Slow Pisces e TraderTraitor.

O incidente se destaca devido à sua metodologia de múltiplas camadas. Os atacantes combinaram engenharia social com a exploração de mecanismos de transferência de dados ponto a ponto entre usuários e empresas, e posteriormente invadiram a infraestrutura de nuvem da organização. Uma vez dentro do ambiente de nuvem, fluxos de trabalho legítimos de DevOps foram explorados para coletar credenciais, escapar dos limites dos contêineres e manipular bancos de dados Cloud SQL para facilitar o roubo.

Do dispositivo pessoal à rede corporativa: o compromisso inicial

O ataque começou com uma campanha de engenharia social cuidadosamente planejada. Um desenvolvedor que trabalhava na organização visada foi enganado e levado a baixar um arquivo compactado apresentado como parte de um projeto legítimo de colaboração de código aberto. Após baixar o arquivo para um dispositivo pessoal, o desenvolvedor o transferiu para uma estação de trabalho corporativa usando o AirDrop, involuntariamente criando uma brecha na segurança entre os ambientes pessoal e corporativo.

A interação com o arquivo ocorreu por meio de um Ambiente de Desenvolvimento Integrado (IDE) com auxílio de Inteligência Artificial. Durante esse processo, um código Python malicioso incorporado no arquivo foi executado. O código implantou um binário disfarçado de ferramenta de linha de comando do Kubernetes, permitindo que ele parecesse legítimo enquanto realizava operações maliciosas.

O arquivo binário então contatou um domínio controlado pelos atacantes e funcionou como uma porta dos fundos dentro do sistema corporativo. Essa brecha permitiu que os adversários se movessem da estação de trabalho comprometida para o ambiente do Google Cloud da organização, provavelmente explorando sessões autenticadas ativas e credenciais acessíveis.

Uma vez dentro da infraestrutura de nuvem, os invasores iniciaram uma fase de reconhecimento destinada a identificar serviços, projetos e pontos de acesso que poderiam ser explorados para comprometer ainda mais a segurança.

Exploração do ambiente de nuvem e escalonamento de privilégios

Durante a fase de reconhecimento, os atacantes identificaram um host bastion no ambiente de nuvem. Ao modificar o atributo de política de autenticação multifator do host, obtiveram acesso não autorizado. Esse acesso possibilitou atividades de reconhecimento mais aprofundadas, incluindo a navegação até pods específicos no ambiente Kubernetes.

Os atacantes então passaram a adotar uma estratégia de "viver fora da nuvem", dependendo principalmente de ferramentas e configurações legítimas da nuvem, em vez de malware externo. A persistência foi estabelecida alterando as configurações de implantação do Kubernetes para que um comando bash malicioso fosse executado automaticamente sempre que novos pods fossem criados. Esse comando recuperava e implantava uma porta dos fundos, garantindo o acesso contínuo.

As principais ações realizadas pelo agente da ameaça durante a invasão incluíram:

  • Modificação de recursos do Kubernetes associados à plataforma CI/CD da organização para injetar comandos que expunham tokens de contas de serviço nos logs do sistema.
  • Adquirir um token vinculado a uma conta de serviço CI/CD com altos privilégios permite a escalação de privilégios e a movimentação lateral em direção a um pod responsável pelas políticas de rede e balanceamento de carga.
  • Utilizando o token roubado para autenticar em um pod de infraestrutura sensível que opera em modo privilegiado, escapando do ambiente do contêiner e instalando uma porta dos fundos persistente.
  • Realizar reconhecimento adicional antes de atacar uma carga de trabalho responsável pelo gerenciamento de informações do cliente, incluindo identidades de usuários, detalhes de segurança da conta e dados de carteiras de criptomoedas.
  • Extraindo credenciais estáticas de banco de dados que foram armazenadas incorretamente em variáveis de ambiente do pod.
  • Utilizando essas credenciais por meio do Cloud SQL Auth Proxy para acessar o banco de dados de produção e executar comandos SQL que modificavam contas de usuário, incluindo redefinições de senha e atualizações de chaves de autenticação multifator para diversas contas de alto valor.

Essas manipulações permitiram, em última análise, que os atacantes controlassem as contas comprometidas e sacassem com sucesso vários milhões de dólares em criptomoedas.

Implicações de segurança das transferências de dados entre ambientes

O incidente destaca diversas vulnerabilidades críticas de segurança comuns em ambientes modernos nativos da nuvem. Mecanismos de transferência de dados ponto a ponto entre dispositivos pessoais e corporativos, como o AirDrop, podem contornar involuntariamente os controles de segurança da empresa, permitindo que malware introduzido em dispositivos pessoais alcance os sistemas corporativos.

Outros fatores de risco incluíam o uso de modos de contêiner privilegiados, segmentação insuficiente entre cargas de trabalho e armazenamento inseguro de credenciais sensíveis em variáveis de ambiente. Cada uma dessas vulnerabilidades aumentou o raio de impacto da intrusão assim que os invasores obtiveram acesso inicial.

Estratégias defensivas para mitigar ameaças semelhantes

Organizações que operam infraestruturas baseadas em nuvem, especialmente aquelas que gerenciam ativos financeiros ou criptomoedas, devem implementar controles defensivos em camadas que abordem os riscos tanto nos endpoints quanto na nuvem.

Medidas eficazes de mitigação incluem:

  • Implementação de controles de acesso sensíveis ao contexto e autenticação multifator resistente a phishing.
  • Garantir que apenas imagens de contêiner confiáveis e verificadas sejam implantadas em ambientes de nuvem.
  • Isolar nós comprometidos e impedir que estabeleçam conexões com hosts externos.
  • Monitoramento de ambientes de contêineres em busca de processos inesperados ou comportamentos anômalos em tempo de execução.
  • Adotar práticas robustas de gerenciamento de segredos para eliminar o armazenamento de credenciais em variáveis de ambiente.
  • Implementar políticas de endpoint que desabilitem ou restrinjam transferências de arquivos ponto a ponto, como AirDrop ou Bluetooth, e impedir a montagem de mídias externas não gerenciadas em dispositivos corporativos.

Uma estratégia abrangente de defesa em profundidade que valida a identidade, restringe caminhos de transferência de dados não controlados e impõe um isolamento rigoroso em tempo de execução em ambientes de nuvem pode reduzir significativamente o impacto de campanhas de intrusão avançadas semelhantes.

Tendendo

Um Método Atualizado Para Bloquear os Vírus de...

Segurança do Computador
Um vírus de computador é um programa de computador que não apenas soa desagradável, mas também é perigoso de se ter, não importa o tipo de vírus que ele seja, spyware, malware, adware, etc.. Quando um novo vírus de computador invade o mundo online da informática, a probabilidade de que o software anti-vírus do usuário seja capaz de ser eficaz o suficiente para tornar impotente esse malware no...

Mais visto

Carregando...