Скидка на мультилицензию
База данных угроз Расширенная постоянная угроза (APT) Кампания по компрометации облачных сервисов UNC4899

Кампания по компрометации облачных сервисов UNC4899

К Mezo году в Расширенная постоянная угроза (APT) году
Перевести на:

В 2025 году была совершена сложная кибератака, связанная с северокорейской группировкой UNC4899, подозреваемой в организации масштабного взлома криптовалютной организации, в результате которого были украдены цифровые активы на миллионы долларов. С умеренной степенью уверенности эта кампания приписывается спонсируемому государством противнику, который также отслеживается под несколькими другими названиями, включая Jade Sleet, PUKCHONG, Slow Pisces и TraderTraitor.

Этот инцидент выделяется своей многоуровневой методологией. Злоумышленники объединили социальную инженерию с использованием механизмов передачи данных между физическими лицами и компаниями, а затем проникли в облачную инфраструктуру организации. Оказавшись внутри облачной среды, они злоупотребили легитимными рабочими процессами DevOps для сбора учетных данных, обхода границ контейнеров и манипулирования базами данных Cloud SQL с целью совершения кражи.

От персонального устройства к корпоративной сети: первоначальный компромисс

Атака началась с тщательно спланированной кампании социальной инженерии. Разработчика, работавшего в целевой организации, обманом заставили загрузить архивный файл, представленный как часть легитимного проекта по совместной работе над проектом с открытым исходным кодом. После загрузки файла на личное устройство разработчик перенес его на корпоративную рабочую станцию с помощью AirDrop, непреднамеренно нарушив границу безопасности между личной и корпоративной средой.

Взаимодействие с архивом происходило через интегрированную среду разработки (IDE) с поддержкой искусственного интеллекта. В ходе этого процесса был выполнен вредоносный код на языке Python, встроенный в архив. Код развертывал бинарный файл, замаскированный под инструмент командной строки Kubernetes, что позволяло ему выглядеть легитимным, выполняя при этом вредоносные операции.

Затем исполняемый файл связался с доменом, контролируемым злоумышленниками, и функционировал как бэкдор в корпоративной системе. Эта точка доступа позволила противникам перейти с скомпрометированной рабочей станции в среду Google Cloud организации, вероятно, используя активные аутентифицированные сессии и доступные учетные данные.

Проникнув в облачную инфраструктуру, злоумышленники начали этап разведки, целью которого было выявление сервисов, проектов и точек доступа, которые могли быть использованы для дальнейшего взлома.

Эксплуатация уязвимостей в облачной среде и повышение привилегий.

На этапе разведки злоумышленники обнаружили бастионный хост в облачной среде. Изменив атрибут политики многофакторной аутентификации хоста, они получили несанкционированный доступ. Этот доступ позволил провести более глубокую разведку, включая навигацию к конкретным подам в среде Kubernetes.

Затем злоумышленники перешли к стратегии использования облачных ресурсов, полагаясь в основном на легитимные облачные инструменты и конфигурации, а не на внешнее вредоносное ПО. Для обеспечения постоянного доступа была изменена конфигурация развертывания Kubernetes таким образом, чтобы вредоносная команда bash автоматически выполнялась при создании новых подов. Эта команда загружала и развертывала бэкдор, обеспечивая непрерывный доступ.

Ключевые действия, предпринятые злоумышленником во время взлома, включали:

  • Модификация ресурсов Kubernetes, связанных с платформой CI/CD организации, с целью внедрения команд, которые раскрывали токены учетных записей служб в системных журналах.
  • Получение токена, привязанного к учетной записи службы CI/CD с высокими привилегиями, позволяет повысить уровень привилегий и переместиться в сторону пода, отвечающего за сетевые политики и балансировку нагрузки.
  • Использование украденного токена для аутентификации в защищенном инфраструктурном модуле, работающем в привилегированном режиме, выход за пределы контейнерной среды и установка постоянного бэкдора.
  • Проведение дополнительной разведки перед тем, как атаковать рабочую нагрузку, отвечающую за управление информацией о клиентах, включая идентификационные данные пользователей, сведения о безопасности учетных записей и данные криптовалютных кошельков.
  • Извлечение статических учетных данных базы данных, которые были некорректно сохранены в переменных среды пода.
  • Использование этих учетных данных через Cloud SQL Auth Proxy позволяет получить доступ к производственной базе данных и выполнять команды SQL, изменяющие учетные записи пользователей, включая сброс паролей и обновление параметров многофакторной аутентификации для нескольких важных учетных записей.

В конечном итоге эти манипуляции позволили злоумышленникам получить контроль над взломанными учетными записями и успешно вывести несколько миллионов долларов в криптовалюте.

Последствия для безопасности межсредовой передачи данных

Этот инцидент выявляет ряд критических уязвимостей безопасности, часто встречающихся в современных облачных средах. Механизмы передачи данных между личными устройствами и корпоративными сетями, такие как AirDrop, могут непреднамеренно обходить корпоративные средства защиты, позволяя вредоносному ПО, внедренному на личные устройства, проникать в корпоративные системы.

К дополнительным факторам риска относились использование привилегированных режимов контейнеризации, недостаточное разделение рабочих нагрузок и небезопасное хранение конфиденциальных учетных данных в переменных среды. Каждая из этих уязвимостей увеличивала радиус поражения при вторжении после того, как злоумышленники получали первоначальную точку опоры.

Оборонительные стратегии для смягчения подобных угроз

Организации, использующие облачные инфраструктуры, особенно те, которые управляют финансовыми активами или криптовалютами, должны внедрять многоуровневые средства защиты, которые учитывают как риски на конечных устройствах, так и риски в облаке.

К эффективным мерам по смягчению последствий относятся:

  • Внедрение контекстно-зависимых средств контроля доступа и многофакторной аутентификации, устойчивой к фишингу.
  • Обеспечение развертывания в облачных средах только доверенных и проверенных образов контейнеров.
  • Изоляция скомпрометированных узлов и предотвращение установления ими соединений с внешними хостами.
  • Мониторинг контейнерных сред на предмет неожиданных процессов или аномального поведения во время выполнения.
  • Внедрение надежных методов управления секретами позволит исключить хранение учетных данных в переменных среды.
  • Внедрение политик для конечных устройств, которые отключают или ограничивают передачу файлов по сети, например, через AirDrop или Bluetooth, а также предотвращают подключение неуправляемых внешних носителей к корпоративным устройствам.

Комплексная многоуровневая стратегия защиты, включающая проверку личности, ограничение неконтролируемых путей передачи данных и обеспечение строгой изоляции во время выполнения в облачных средах, может значительно снизить последствия подобных сложных хакерских атак.

В тренде

Critical-service.cc

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Посещение интернета требует постоянной бдительности. Киберпреступники постоянно разрабатывают обманные методы, чтобы заставить пользователей поставить под угрозу свою безопасность. В частности,...

Наиболее просматриваемые

Загрузка...