Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) Kampaň UNC4899 za ohrozenie cloudu

Kampaň UNC4899 za ohrozenie cloudu

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT)
Preložiť do:

Sofistikovaný kybernetický útok z roku 2025 bol spojený so severokórejským aktérom hrozby UNC4899, skupinou podozrivou z organizovania rozsiahleho útoku na kryptomenovú organizáciu, ktorý viedol ku krádeži digitálnych aktív v hodnote miliónov dolárov. Kampaň bola s miernou istotou pripisovaná tomuto štátom sponzorovanému protivníkovi, ktorý je sledovaný aj pod niekoľkými ďalšími menami vrátane Jade Sleet, PUKCHONG, Slow Pisces a TraderTraitor.

Incident vyniká svojou viacvrstvovou metodológiou. Útočníci kombinovali sociálne inžinierstvo so zneužívaním mechanizmov peer-to-peer prenosu dát medzi osobnými a firemnými dátami a neskôr sa presunuli do cloudovej infraštruktúry organizácie. Po vstupe do cloudového prostredia boli legitímne pracovné postupy DevOps zneužité na zhromažďovanie poverení, obchádzanie hraníc kontajnerov a manipuláciu s databázami Cloud SQL s cieľom uľahčiť krádež.

Z osobného zariadenia do firemnej siete: Počiatočný kompromis

Útok sa začal starostlivo premyslenou kampaňou sociálneho inžinierstva. Vývojár pracujúci v cieľovej organizácii bol oklamaný a stiahol archívny súbor prezentovaný ako súčasť legitímneho projektu open-source spolupráce. Po stiahnutí súboru do osobného zariadenia ho vývojár preniesol do firemnej pracovnej stanice pomocou AirDropu, čím neúmyselne premostil bezpečnostnú hranicu medzi osobným a podnikovým prostredím.

Interakcia s archívom prebiehala prostredníctvom integrovaného vývojového prostredia (IDE) s podporou umelej inteligencie. Počas tohto procesu bol spustený škodlivý kód Pythonu vložený do archívu. Kód nasadil binárny súbor maskovaný ako nástroj príkazového riadka Kubernetes, čo mu umožnilo vyzerať legitímne pri vykonávaní škodlivých operácií.

Binárny súbor potom kontaktoval doménu ovládanú útočníkmi a fungoval ako zadné vrátka v rámci podnikového systému. Táto možnosť umožnila útočníkom presunúť sa z napadnutej pracovnej stanice do prostredia Google Cloud organizácie, pravdepodobne s využitím aktívnych overených relácií a prístupných prihlasovacích údajov.

Po vstupe do cloudovej infraštruktúry útočníci začali fázu prieskumu, ktorej cieľom bolo identifikovať služby, projekty a prístupové body, ktoré by sa dali využiť na ďalšie zneužitie.

Využívanie cloudového prostredia a eskalácia privilégií

Počas fázy prieskumu útočníci identifikovali bastionový hostiteľ v cloudovom prostredí. Úpravou atribútu politiky viacfaktorového overovania hostiteľa bol dosiahnutý neoprávnený prístup. Tento prístup umožnil hlbšie prieskumné aktivity vrátane navigácie do konkrétnych podov v prostredí Kubernetes.

Útočníci potom prešli na stratégiu „žijúc mimo cloudu“, spoliehajúc sa predovšetkým na legitímne cloudové nástroje a konfigurácie, a nie na externý malvér. Perzistencia bola dosiahnutá zmenou konfigurácií nasadenia Kubernetes tak, aby sa škodlivý príkaz bash automaticky spustil vždy, keď sa vytvorili nové pody. Tento príkaz našiel a nasadil zadné vrátka, čím sa zabezpečil nepretržitý prístup.

Medzi kľúčové akcie, ktoré útočník vykonal počas kompromitácie, patrili:

  • Úprava zdrojov Kubernetes spojených s platformou CI/CD organizácie s cieľom vložiť príkazy, ktoré odhalili tokeny servisných účtov v systémových protokoloch.
  • Získanie tokenu viazaného na vysoko privilegovaný servisný účet CI/CD, čo umožňuje eskaláciu privilégií a laterálny presun smerom k podu zodpovednému za sieťové politiky a vyvažovanie záťaže.
  • Použitie ukradnutého tokenu na autentifikáciu do citlivého infraštruktúrneho podu pracujúceho v privilegovanom režime, únik z prostredia kontajnera a inštalácia perzistentných zadných vrátok.
  • Vykonanie dodatočného prieskumu pred zameraním sa na pracovnú záťaž zodpovednú za správu informácií o zákazníkoch vrátane identít používateľov, bezpečnostných údajov o účte a údajov o kryptomenových peňaženkách.
  • Extrahovanie statických databázových prihlasovacích údajov, ktoré boli nesprávne uložené v premenných prostredia podu.
  • Využitie týchto prihlasovacích údajov prostredníctvom proxy servera Cloud SQL Auth na prístup k produkčnej databáze a vykonávanie príkazov SQL, ktoré upravili používateľské účty vrátane obnovenia hesla a aktualizácií viacfaktorového overovania pre niekoľko vysokohodnotných účtov.

Tieto manipulácie nakoniec umožnili útočníkom ovládať napadnuté účty a úspešne vybrať niekoľko miliónov dolárov v kryptomenách.

Bezpečnostné dôsledky prenosu údajov medzi prostrediami

Tento incident poukazuje na niekoľko kritických bezpečnostných slabín, ktoré sa bežne vyskytujú v moderných cloudových prostrediach. Mechanizmy prenosu údajov medzi osobnými a firemnými zariadeniami typu peer-to-peer, ako napríklad AirDrop, môžu neúmyselne obísť bezpečnostné kontroly podniku, čo umožňuje škodlivému softvéru zavedenému do osobných zariadení dostať sa do firemných systémov.

Medzi ďalšie rizikové faktory patrilo používanie privilegovaných kontajnerových režimov, nedostatočná segmentácia medzi pracovnými zaťaženiami a nezabezpečené ukladanie citlivých prihlasovacích údajov v premenných prostredia. Každá z týchto slabín zvýšila dosah útoku, keď útočníci získali počiatočné uchytenie.

Obranné stratégie na zmiernenie podobných hrozieb

Organizácie prevádzkujúce cloudové infraštruktúry, najmä tie, ktoré spravujú finančné aktíva alebo kryptomeny, musia implementovať viacvrstvové obranné kontroly, ktoré riešia riziká koncových bodov aj cloudu.

Medzi účinné zmierňujúce opatrenia patria:

  • Implementácia kontextovo orientovaných kontrol prístupu a viacfaktorovej autentifikácie odolnej voči phishingu.
  • Zabezpečenie, aby sa v cloudových prostrediach nasadzovali iba dôveryhodné a overené obrazy kontajnerov.
  • Izolácia kompromitovaných uzlov a zabránenie im v nadväzovaní spojení s externými hostiteľmi.
  • Monitorovanie kontajnerových prostredí, či neobsahujú neočakávané procesy alebo anomálne správanie za behu.
  • Prijatie robustných postupov správy tajomstiev s cieľom eliminovať ukladanie poverení v premenných prostredia.
  • Vynucovanie politík koncových bodov, ktoré zakazujú alebo obmedzujú prenos súborov medzi zariadeniami typu peer-to-peer, ako napríklad AirDrop alebo Bluetooth, a zabránenie pripájaniu nespravovaných externých médií na firemných zariadeniach.

Komplexná stratégia hĺbkovej obrany, ktorá overuje identitu, obmedzuje nekontrolované cesty prenosu údajov a vynucuje prísnu izoláciu za behu v cloudových prostrediach, môže výrazne znížiť dopad podobných pokročilých intruzných kampaní.

Trendy

Najviac videné

Načítava...