Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Fushata UNC4899 për Kompromentimin e Cloud-it

Fushata UNC4899 për Kompromentimin e Cloud-it

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një ndërhyrje kibernetike e sofistikuar në vitin 2025 është lidhur me aktorin kërcënues të Koresë së Veriut UNC4899, një grup i dyshuar për orkestrimin e një komprometimi në shkallë të gjerë të një organizate kriptomonedhash që rezultoi në vjedhjen e miliona dollarëve në asete dixhitale. Fushata i është atribuar me besim të moderuar këtij kundërshtari të sponsorizuar nga shteti, i cili gjurmohet edhe nën disa emra të tjerë, duke përfshirë Jade Sleet, PUKCHONG, Slow Pisces dhe TraderTraitor.

Incidenti dallohet për shkak të metodologjisë së tij shumështresore. Sulmuesit kombinuan inxhinierinë sociale me shfrytëzimin e mekanizmave të transferimit të të dhënave nga personi në korporatë dhe më vonë u zhvendosën në infrastrukturën cloud të organizatës. Pasi u futën brenda mjedisit cloud, rrjedhat e punës legjitime DevOps u keqpërdorën për të mbledhur kredencialet, për t'iu shmangur kufijve të kontejnerëve dhe për të manipuluar bazat e të dhënave Cloud SQL për të lehtësuar vjedhjen.

Nga pajisja personale në rrjetin e korporatës: Kompromisi fillestar

Sulmi filloi me një fushatë të hartuar me kujdes për inxhinierinë sociale. Një zhvillues që punonte brenda organizatës së synuar u mashtrua duke shkarkuar një skedar arkivi të paraqitur si pjesë e një projekti legjitim bashkëpunimi me burim të hapur. Pasi shkarkoi skedarin në një pajisje personale, zhvilluesi e transferoi atë në një stacion pune të korporatës duke përdorur AirDrop, duke krijuar pa dashje një urë lidhëse sigurie midis mjediseve personale dhe atyre të ndërmarrjes.

Ndërveprimi me arkivin ndodhi përmes një Mjedisi të Zhvillimit të Integruar (IDE) të asistuar nga inteligjenca artificiale. Gjatë këtij procesi, u ekzekutua kodi Python i keq i integruar në arkiv. Kodi vendosi një skedar binar të maskuar si mjeti i linjës së komandës Kubernetes, duke e lejuar atë të dukej i ligjshëm gjatë kryerjes së operacioneve keqdashëse.

Më pas, skedari binar kontaktoi një domen të kontrolluar nga sulmuesit dhe funksionoi si një derë e pasme brenda sistemit të korporatës. Kjo pikëmbështetje u mundësoi kundërshtarëve të kalonin nga stacioni i punës i kompromentuar në mjedisin Google Cloud të organizatës, me shumë mundësi duke përdorur seancat aktive të autentifikuara dhe kredencialet e aksesueshme.

Pasi hynë brenda infrastrukturës së reve, sulmuesit filluan një fazë zbulimi të projektuar për të identifikuar shërbimet, projektet dhe pikat e aksesit që mund të shfrytëzoheshin për kompromentim të mëtejshëm.

Shfrytëzimi i Mjedisit të Reve dhe Përshkallëzimi i Privilegjeve

Gjatë fazës së zbulimit, sulmuesit identifikuan një host bastion brenda mjedisit cloud. Duke modifikuar atributin e politikës së vërtetimit shumëfaktorësh të hostit, u arrit qasje e paautorizuar. Ky akses mundësoi aktivitete më të thella zbulimi, duke përfshirë navigimin në pod specifike brenda mjedisit Kubernetes.

Sulmuesit më pas kaluan në një strategji jetese jashtë cloud-it, duke u mbështetur kryesisht në mjete dhe konfigurime legjitime të cloud-it në vend të programeve të jashtme keqdashëse. Qëndrueshmëria u krijua duke ndryshuar konfigurimet e vendosjes së Kubernetes në mënyrë që një komandë keqdashëse bash të ekzekutohej automatikisht sa herë që krijoheshin pod-e të reja. Kjo komandë mori dhe vendosi një derë të pasme, duke siguruar akses të vazhdueshëm.

Veprimet kryesore të kryera nga aktori kërcënues gjatë kompromentimit përfshinin:

  • Modifikimi i burimeve të Kubernetes të lidhura me platformën CI/CD të organizatës për të injektuar komanda që ekspozonin tokenat e llogarisë së shërbimit në regjistrat e sistemit.
  • Blerja e një tokeni të lidhur me një llogari shërbimi CI/CD me privilegje të larta, duke mundësuar përshkallëzimin e privilegjeve dhe lëvizjen anësore drejt një pod përgjegjës për politikat e rrjetit dhe balancimin e ngarkesës.
  • Përdorimi i tokenit të vjedhur për të autentifikuar në një pod infrastrukture të ndjeshme që vepron në modalitetin e privilegjuar, duke dalë nga mjedisi i kontejnerit dhe duke instaluar një derë të pasme të vazhdueshme.
  • Kryerja e një zbulimi shtesë përpara se të synohet një ngarkesë pune përgjegjëse për menaxhimin e informacionit të klientit, duke përfshirë identitetet e përdoruesve, detajet e sigurisë së llogarisë dhe të dhënat e portofolit të kriptomonedhave.
  • Duke nxjerrë kredencialet statike të bazës së të dhënave që ishin ruajtur në mënyrë të papërshtatshme brenda variablave të mjedisit të pod-it.
  • Duke përdorur këto kredenciale përmes Cloud SQL Auth Proxy për të aksesuar bazën e të dhënave të prodhimit dhe për të ekzekutuar komandat SQL që modifikuan llogaritë e përdoruesve, duke përfshirë rivendosjen e fjalëkalimeve dhe përditësimet e autentifikimit shumëfaktorësh për disa llogari me vlerë të lartë.

Këto manipulime në fund të fundit i lejuan sulmuesit të kontrollonin llogaritë e kompromentuara dhe të tërhiqnin me sukses disa milion dollarë në kriptomonedha.

Implikimet e Sigurisë së Transferimeve të të Dhënave Ndër-Mjedisore

Incidenti nxjerr në pah disa dobësi kritike të sigurisë që gjenden zakonisht në mjediset moderne të bazuara në cloud. Mekanizmat e transferimit të të dhënave nga personi në korporatë, si AirDrop, mund të anashkalojnë pa dashje kontrollet e sigurisë së ndërmarrjeve, duke bërë të mundur që programet keqdashëse të futura në pajisjet personale të arrijnë sistemet e korporatave.

Faktorë të tjerë rreziku përfshinin përdorimin e mënyrave të privilegjuara të kontejnerëve, segmentimin e pamjaftueshëm midis ngarkesave të punës dhe ruajtjen e pasigurt të kredencialeve të ndjeshme në variablat e mjedisit. Secila prej këtyre dobësive rriti rrezen e shpërthimit të ndërhyrjes pasi sulmuesit fituan një pikëmbështetje fillestare.

Strategjitë mbrojtëse për të zbutur kërcënime të ngjashme

Organizatat që operojnë infrastruktura të bazuara në cloud, veçanërisht ato që menaxhojnë asete financiare ose kriptomonedha, duhet të zbatojnë kontrolle mbrojtëse të shtresuara që adresojnë rreziqet si të pikës fundore ashtu edhe të cloud-it.

Masat efektive zbutëse përfshijnë:

  • Zbatimi i kontrolleve të aksesit të ndërgjegjshme për kontekstin dhe autentifikimit shumëfaktorësh rezistent ndaj phishing-ut.
  • Sigurimi që vetëm imazhe kontejnerësh të besueshme dhe të verifikuara të vendosen brenda mjediseve cloud.
  • Izolimi i nyjeve të kompromentuara dhe parandalimi i tyre nga krijimi i lidhjeve me hostet e jashtme.
  • Monitorimi i mjediseve të kontejnerëve për procese të papritura ose sjellje anomale të kohës së ekzekutimit.
  • Duke adoptuar praktika të forta të menaxhimit të sekreteve për të eliminuar ruajtjen e kredencialeve në variablat e mjedisit.
  • Zbatimi i politikave të pikave fundore që çaktivizojnë ose kufizojnë transferimet e skedarëve peer-to-peer, të tilla si AirDrop ose Bluetooth, dhe parandalimi i montimit të mediave të jashtme të pamenaxhuara në pajisjet e korporatave.

Një strategji gjithëpërfshirëse mbrojtjeje e thelluar që vërteton identitetin, kufizon rrugët e pakontrolluara të transferimit të të dhënave dhe zbaton izolim të rreptë në kohën e ekzekutimit brenda mjediseve cloud mund të zvogëlojë ndjeshëm ndikimin e fushatave të ngjashme të avancuara të ndërhyrjeve.

Në trend

Më e shikuara

Po ngarkohet...