Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Campania UNC4899 de compromitere a cloud-ului

Campania UNC4899 de compromitere a cloud-ului

Până în Mezo în Amenințare persistentă avansată (APT)
Tradu in:

O intruziune cibernetică sofisticată din 2025 a fost asociată cu actorul de amenințare nord-coreean UNC4899, un grup suspectat de orchestrarea unei compromiteri la scară largă a unei organizații de criptomonede, care a dus la furtul a milioane de dolari în active digitale. Campania a fost atribuită cu o încredere moderată acestui adversar sponsorizat de stat, care este urmărit și sub alte câteva nume, inclusiv Jade Sleet, PUKCHONG, Slow Pisces și TraderTraitor.

Incidentul iese în evidență datorită metodologiei sale multistratificate. Atacatorii au combinat ingineria socială cu exploatarea mecanismelor de transfer de date peer-to-peer de la persoane fizice la corporații și ulterior s-au reprofilat în infrastructura cloud a organizației. Odată ajunși în mediul cloud, fluxurile de lucru DevOps legitime au fost abuzate pentru a colecta acreditări, a evita limitele containerelor și a manipula bazele de date Cloud SQL pentru a facilita furtul.

De la dispozitivul personal la rețeaua corporativă: Compromisul inițial

Atacul a început cu o campanie de inginerie socială atent concepută. Un dezvoltator care lucra în cadrul organizației vizate a fost înșelat să descarce un fișier arhivă prezentat ca parte a unui proiect legitim de colaborare open-source. După ce a descărcat fișierul pe un dispozitiv personal, dezvoltatorul l-a transferat pe o stație de lucru corporativă folosind AirDrop, depășind în mod neintenționat o graniță de securitate între mediile personale și cele de întreprindere.

Interacțiunea cu arhiva a avut loc prin intermediul unui mediu de dezvoltare integrat (IDE) asistat de inteligență artificială. În timpul acestui proces, a fost executat cod Python malițios încorporat în arhivă. Codul a implementat un fișier binar deghizat în instrumentul de linie de comandă Kubernetes, permițându-i să pară legitim în timp ce efectua operațiuni malițioase.

Apoi, fișierul binar a contactat un domeniu controlat de atacatori și a funcționat ca o ușă ascunsă în sistemul corporativ. Această intrare le-a permis adversarilor să se deplaseze de la stația de lucru compromisă către mediul Google Cloud al organizației, probabil utilizând sesiuni autentificate active și acreditări accesibile.

Odată ajunși în infrastructura cloud, atacatorii au început o fază de recunoaștere menită să identifice servicii, proiecte și puncte de acces care ar putea fi valorificate pentru compromiterea ulterioară a securității.

Exploatarea mediului cloud și escaladarea privilegiilor

În timpul etapei de recunoaștere, atacatorii au identificat o gazdă bastion în mediul cloud. Prin modificarea atributului politicii de autentificare multi-factor a gazdei, s-a obținut acces neautorizat. Acest acces a permis activități de recunoaștere mai aprofundate, inclusiv navigarea către pod-uri specifice din mediul Kubernetes.

Atacatorii au trecut apoi la o strategie de tip „living-off-the-cloud”, bazându-se în principal pe instrumente și configurații cloud legitime, mai degrabă decât pe programe malware externe. Persistența a fost stabilită prin modificarea configurațiilor de implementare Kubernetes, astfel încât o comandă bash rău intenționată să se execute automat de fiecare dată când erau create noi pod-uri. Această comandă a recuperat și implementat un backdoor, asigurând accesul continuu.

Acțiunile cheie efectuate de actorul amenințător în timpul compromiterii au inclus:

  • Modificarea resurselor Kubernetes asociate cu platforma CI/CD a organizației pentru a injecta comenzi care au expus token-uri de cont de serviciu în jurnalele de sistem.
  • Achiziționarea unui token legat de un cont de serviciu CI/CD cu privilegii ridicate, permițând escaladarea privilegiilor și mișcarea laterală către un pod responsabil pentru politicile de rețea și echilibrarea încărcării.
  • Utilizarea token-ului furat pentru autentificarea la un pod de infrastructură sensibil care operează în mod privilegiat, ieșirea din mediul containerului și instalarea unui backdoor persistent.
  • Efectuarea de recunoaștere suplimentară înainte de a viza o sarcină de lucru responsabilă de gestionarea informațiilor despre clienți, inclusiv identitățile utilizatorilor, detaliile de securitate ale contului și datele portofelului de criptomonede.
  • Extragerea acreditărilor statice ale bazei de date care au fost stocate incorect în variabilele de mediu ale pod-ului.
  • Valorificarea acestor acreditări prin intermediul proxy-ului de autentificare Cloud SQL pentru a accesa baza de date de producție și a executa comenzi SQL care au modificat conturile de utilizator, inclusiv resetările parolelor și actualizările valorilor inițiale de autentificare multi-factor pentru mai multe conturi de mare valoare.

Aceste manipulări le-au permis în cele din urmă atacatorilor să controleze conturile compromise și să retragă cu succes câteva milioane de dolari în criptomonede.

Implicațiile de securitate ale transferurilor de date între medii

Incidentul evidențiază câteva deficiențe critice de securitate întâlnite frecvent în mediile cloud-native moderne. Mecanismele de transfer de date peer-to-peer între companii, cum ar fi AirDrop, pot ocoli în mod neintenționat controalele de securitate ale întreprinderii, permițând programelor malware introduse pe dispozitivele personale să ajungă la sistemele corporative.

Factorii de risc suplimentari au inclus utilizarea modurilor de container privilegiate, segmentarea insuficientă între sarcinile de lucru și stocarea nesigură a acreditărilor sensibile în variabilele de mediu. Fiecare dintre aceste puncte slabe a crescut raza de acțiune a intruziunii odată ce atacatorii au obținut un punct de sprijin inițial.

Strategii defensive pentru atenuarea amenințărilor similare

Organizațiile care operează infrastructuri bazate pe cloud, în special cele care gestionează active financiare sau criptomonede, trebuie să implementeze controale defensive stratificate care să abordeze atât riscurile la nivelul endpoint-urilor, cât și cele din cloud.

Măsurile eficiente de atenuare includ:

  • Implementarea controalelor de acces sensibile la context și a autentificării multi-factor rezistente la phishing.
  • Asigurarea faptului că în mediile cloud sunt implementate doar imagini de containere de încredere și verificate.
  • Izolarea nodurilor compromise și împiedicarea acestora să stabilească conexiuni cu gazde externe.
  • Monitorizarea mediilor containerelor pentru procese neașteptate sau comportamente anormale la rulare.
  • Adoptarea unor practici robuste de gestionare a secretelor pentru a elimina stocarea acreditărilor în variabile de mediu.
  • Aplicarea politicilor endpoint care dezactivează sau restricționează transferurile de fișiere peer-to-peer, cum ar fi AirDrop sau Bluetooth, și prevenirea montării suporturilor externe negestionate pe dispozitivele corporative.

O strategie cuprinzătoare de apărare în profunzime care validează identitatea, restricționează căile de transfer de date necontrolate și impune o izolare strictă la momentul rulării în mediile cloud poate reduce semnificativ impactul unor campanii similare de intruziune avansată.

Trending

Cele mai văzute

Se încarcă...