Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) Kampanja za ogroženost oblaka UNC4899

Kampanja za ogroženost oblaka UNC4899

Do leta Mezo leta Napredna trajna grožnja (APT)
Prevedi v:

Sofisticiran kibernetski vdor leta 2025 je bil povezan s severnokorejskim akterjem grožnje UNC4899, skupino, za katero obstaja sum, da je organizirala obsežno kompromitacijo organizacije za kriptovalute, kar je povzročilo krajo digitalnih sredstev v vrednosti milijonov dolarjev. Kampanja je bila z zmerno gotovostjo pripisana temu državno sponzoriranemu nasprotniku, ki ga spremljajo tudi pod več drugimi imeni, vključno z Jade Sleet, PUKCHONG, Slow Pisces in TraderTraitor.

Incident izstopa zaradi svoje večplastne metodologije. Napadalci so združili socialni inženiring z izkoriščanjem mehanizmov za prenos podatkov med osebnimi in podjetniškimi podatki ter se kasneje preusmerili v oblačno infrastrukturo organizacije. Ko so bili enkrat v oblačnem okolju, so bili legitimni delovni tokovi DevOps zlorabljeni za zbiranje poverilnic, izogibanje mejam vsebnikov in manipulacijo z bazami podatkov Cloud SQL, da bi olajšali krajo.

Od osebne naprave do poslovnega omrežja: začetni kompromis

Napad se je začel s skrbno zasnovano kampanjo socialnega inženiringa. Razvijalec, ki je delal v ciljni organizaciji, je bil prevaran, da je prenesel arhivsko datoteko, predstavljeno kot del legitimnega projekta odprtokodnega sodelovanja. Po prenosu datoteke na osebno napravo jo je razvijalec s pomočjo AirDropa prenesel na poslovno delovno postajo podjetja, s čimer je nenamerno premostil varnostno mejo med osebnim in poslovnim okoljem.

Interakcija z arhivom je potekala prek integriranega razvojnega okolja (IDE) s pomočjo umetne inteligence. Med tem postopkom je bila izvedena zlonamerna koda Python, vdelana v arhiv. Koda je namestila binarno datoteko, prikrito kot orodje ukazne vrstice Kubernetes, kar ji je omogočilo, da je med izvajanjem zlonamernih operacij delovala legitimno.

Binarna datoteka je nato stopila v stik z domeno, ki so jo nadzorovali napadalci, in delovala kot zadnja vrata znotraj korporativnega sistema. Ta opora je nasprotnikom omogočila, da so se iz ogrožene delovne postaje preusmerili v okolje Google Cloud organizacije, verjetno z uporabo aktivnih overjenih sej in dostopnih poverilnic.

Ko so napadalci vstopili v oblačno infrastrukturo, so začeli fazo izvidovanja, namenjeno prepoznavanju storitev, projektov in dostopnih točk, ki bi jih lahko izkoristili za nadaljnje vdore.

Izkoriščanje oblačnega okolja in stopnjevanje privilegijev

Med fazo izvidovanja so napadalci v oblačnem okolju prepoznali gostitelja bastiona. S spreminjanjem atributa politike večfaktorske avtentikacije gostitelja je bil dosežen nepooblaščen dostop. Ta dostop je omogočil globlje izvidniške dejavnosti, vključno z navigacijo do določenih podov v okolju Kubernetes.

Napadalci so nato prešli na strategijo »živeti zunaj oblaka«, pri čemer so se zanašali predvsem na legitimna orodja in konfiguracije v oblaku in ne na zunanjo zlonamerno programsko opremo. Vztrajnost je bila vzpostavljena s spreminjanjem konfiguracij uvajanja Kubernetes, tako da se je zlonamerni ukaz bash samodejno izvedel vsakič, ko so bili ustvarjeni novi podi. Ta ukaz je pridobil in namestil zadnja vrata, kar je zagotovilo nenehen dostop.

Ključna dejanja, ki jih je akter grožnje izvedel med vdorom, so vključevala:

  • Spreminjanje virov Kubernetes, povezanih s platformo CI/CD organizacije, za vstavljanje ukazov, ki so v sistemskih dnevnikih razkrili žetone računov storitev.
  • Pridobitev žetona, vezanega na visoko privilegiran račun storitve CI/CD, kar omogoča stopnjevanje privilegijev in lateralni premik proti podu, odgovornemu za omrežne politike in uravnoteženje obremenitve.
  • Uporaba ukradenega žetona za preverjanje pristnosti v občutljivem infrastrukturnem podu, ki deluje v privilegiranem načinu, pobeg iz vsebniškega okolja in namestitev trajnih zadnjih vrat.
  • Izvedba dodatnega izvidovanja pred ciljanjem delovne obremenitve, odgovorne za upravljanje podatkov o strankah, vključno z identitetami uporabnikov, varnostnimi podatki računa in podatki o denarnicah s kriptovalutami.
  • Pridobivanje statičnih poverilnic baze podatkov, ki so bile nepravilno shranjene v spremenljivkah okolja pod.
  • Uporaba teh poverilnic prek proxyja Cloud SQL Auth za dostop do produkcijske baze podatkov in izvajanje ukazov SQL, ki so spremenili uporabniške račune, vključno s ponastavitvami gesel in posodobitvami semen večfaktorske avtentikacije za več računov z visoko vrednostjo.

Te manipulacije so napadalcem na koncu omogočile nadzor nad ogroženimi računi in uspešno dvignile več milijonov dolarjev v kriptovalutah.

Varnostne posledice prenosa podatkov med okolji

Incident poudarja več kritičnih varnostnih pomanjkljivosti, ki jih pogosto najdemo v sodobnih oblačnih okoljih. Mehanizmi za prenos podatkov med osebnimi in podjetniškimi sistemi, kot je AirDrop, lahko nenamerno zaobidejo varnostne kontrole podjetja, kar omogoča, da zlonamerna programska oprema, nameščena v osebnih napravah, doseže poslovne sisteme.

Dodatni dejavniki tveganja so vključevali uporabo privilegiranih načinov vsebnika, nezadostno segmentacijo med delovnimi obremenitvami in nezaščiteno shranjevanje občutljivih poverilnic v spremenljivkah okolja. Vsaka od teh slabosti je povečala radij vdora, ko so napadalci pridobili začetno oporo.

Obrambne strategije za ublažitev podobnih groženj

Organizacije, ki upravljajo infrastrukturo v oblaku, zlasti tiste, ki upravljajo finančna sredstva ali kriptovalute, morajo izvajati večplastne obrambne kontrole, ki obravnavajo tako tveganja končnih točk kot tudi tveganja v oblaku.

Učinkoviti blažilni ukrepi vključujejo:

  • Izvajanje kontekstualno ozaveščenih kontrol dostopa in večfaktorske avtentikacije, odporne na lažno predstavljanje.
  • Zagotavljanje, da se v oblačnih okoljih uporabljajo samo zaupanja vredne in preverjene slike vsebnikov.
  • Izolacija ogroženih vozlišč in preprečevanje njihovega vzpostavljanja povezav z zunanjimi gostitelji.
  • Spremljanje vsebniških okolij za nepričakovane procese ali nenavadno vedenje med izvajanjem.
  • Sprejemanje robustnih praks upravljanja skrivnosti za odpravo shranjevanja poverilnic v okoljskih spremenljivkah.
  • Uveljavljanje pravilnikov končnih točk, ki onemogočajo ali omejujejo prenos datotek med vrstniki, kot sta AirDrop ali Bluetooth, in preprečevanje nameščanja neupravljanih zunanjih medijev na poslovne naprave.

Celovita strategija obrambe v globino, ki potrjuje identiteto, omejuje nenadzorovane poti prenosa podatkov in uveljavlja strogo izolacijo med izvajanjem v oblačnih okoljih, lahko znatno zmanjša vpliv podobnih naprednih vdornih kampanj.

V trendu

Najbolj gledan

Nalaganje...