Попуст за више лиценци
Тхреат Датабасе Напредна трајна претња (АПТ) Кампања за компромитовање облака UNC4899

Кампања за компромитовање облака UNC4899

До Mezo. у Напредна трајна претња (АПТ)
Преведи на:

Софистицирани сајбер упад из 2025. године повезан је са севернокорејским актером претње UNC4899, групом за коју се сумња да је организовала велико компромитовање криптовалуте, што је резултирало крађом милиона долара у дигиталној имовини. Кампања се са умереним поверењем приписује овом државно спонзорисаном противнику, који се прати и под неколико других имена, укључујући Jade Sleet, PUKCHONG, Slow Pisces и TraderTraitor.

Инцидент се истиче због своје вишеслојне методологије. Нападачи су комбиновали друштвени инжењеринг са експлоатацијом механизама за пренос података између личних и корпоративних корисника, а касније су се преусмерили на клауд инфраструктуру организације. Једном када су се нашли у клауд окружењу, легитимни DevOps токови рада су злоупотребљени за прикупљање акредитива, заобилажење граница контејнера и манипулисање Cloud SQL базама података како би се олакшала крађа.

Од личног уређаја до корпоративне мреже: Почетни компромис

Напад је почео пажљиво осмишљеном кампањом социјалног инжењеринга. Програмер који ради у циљаној организацији је преварен да преузме архивску датотеку представљену као део легитимног пројекта сарадње отвореног кода. Након што је преузео датотеку на лични уређај, програмер ју је пребацио на корпоративну радну станицу користећи AirDrop, ненамерно премостивши безбедносну границу између личног и пословног окружења.

Интеракција са архивом се одвијала путем интегрисаног развојног окружења (IDE) уз помоћ вештачке интелигенције. Током овог процеса, извршен је злонамерни Пајтон код уграђен у архиву. Код је распоредио бинарни фајл прерушен у Кубернетес алатку командне линије, што му је омогућило да изгледа легитимно док извршава злонамерне операције.

Бинарни фајл је затим контактирао домен који контролишу нападачи и функционисао је као задња врата унутар корпоративног система. Ово упориште је омогућило противницима да се пребаце са угрожене радне станице у Google Cloud окружење организације, вероватно користећи активне аутентификоване сесије и приступачне акредитиве.

Једном када су ушли унутар клауд инфраструктуре, нападачи су започели фазу извиђања осмишљену да идентификују сервисе, пројекте и приступне тачке које би могле бити искоришћене за даље компромитовање.

Искоришћавање облачног окружења и ескалација привилегија

Током фазе извиђања, нападачи су идентификовали бастионски хост унутар облачног окружења. Модификовањем атрибута политике вишефакторске аутентификације хоста, остварен је неовлашћени приступ. Овај приступ је омогућио дубље активности извиђања, укључујући навигацију до одређених подова унутар Kubernetes окружења.

Нападачи су затим прешли на стратегију живота ван облака, ослањајући се првенствено на легитимне алате и конфигурације у облаку, а не на екстерни злонамерни софтвер. Перзистентност је успостављена изменом конфигурација распоређивања Кубернетеса тако да се злонамерна bash команда аутоматски извршавала сваки пут када би се креирали нови подови. Ова команда је преузела и поставила задња врата (backdoor), осигуравајући континуирани приступ.

Кључне акције које је извршио претња током компромитовања укључују:

  • Модификовање Kubernetes ресурса повезаних са CI/CD платформом организације ради убризгавања команди које су откриле токене сервисних налога у системским евиденцијама.
  • Стицање токена везаног за високо привилеговани CI/CD сервисни налог, омогућавајући ескалацију привилегија и латерално кретање ка поду одговорном за мрежне политике и балансирање оптерећења.
  • Коришћење украденог токена за аутентификацију на осетљивом инфраструктурном поду који ради у привилегованом режиму, излазак из контејнерског окружења и инсталирање трајних задњих врата.
  • Спровођење додатног извиђања пре циљања радног оптерећења одговорног за управљање информацијама о клијентима, укључујући идентитете корисника, детаље о безбедности налога и податке о криптовалутним новчаницима.
  • Издвајање статичких акредитива базе података који су неправилно сачувани унутар променљивих окружења pod-а.
  • Коришћење тих акредитива путем проксија за аутентификацију у Cloud SQL-у за приступ продукцијској бази података и извршавање SQL команди које су мењале корисничке налоге, укључујући ресетовање лозинки и ажурирања семена вишефакторске аутентификације за неколико вредних налога.

Ове манипулације су на крају омогућиле нападачима да контролишу компромитоване налоге и успешно повуку неколико милиона долара у криптовалутама.

Безбедносне импликације преноса података између окружења

Инцидент истиче неколико критичних безбедносних слабости које се често налазе у модерним cloud-native окружењима. Механизми за пренос података између личних и корпоративних уређаја, као што је AirDrop, могу ненамерно заобићи безбедносне контроле предузећа, омогућавајући злонамерном софтверу уведеном на личне уређаје да доспе до корпоративних система.

Додатни фактори ризика укључивали су коришћење привилегованих контејнерских режима, недовољну сегментацију између радних оптерећења и небезбедно складиштење осетљивих акредитива у променљивим окружења. Свака од ових слабости повећала је радијус упада када би нападачи стекли почетно упориште.

Одбрамбене стратегије за ублажавање сличних претњи

Организације које управљају инфраструктурама заснованим на облаку, посебно оне које управљају финансијском имовином или криптовалутама, морају да имплементирају слојевите одбрамбене контроле које се баве ризицима и на крајњим тачкама и у облаку.

Ефикасне мере за ублажавање укључују:

  • Имплементација контекстуално свесних контрола приступа и вишефакторске аутентификације отпорне на фишинг.
  • Осигуравање да се у облачним окружењима примењују само поуздане и верификоване слике контејнера.
  • Изоловање угрожених чворова и спречавање њиховог успостављања веза са спољним хостовима.
  • Праћење контејнерских окружења у потрази за неочекиваним процесима или аномалним понашањем током извршавања.
  • Усвајање робусних пракси управљања тајнама како би се елиминисало чување акредитива у променљивим окружења.
  • Спровођење политика крајњих тачака које онемогућавају или ограничавају пренос датотека између корисника, као што су AirDrop или Bluetooth, и спречавање монтирања неуправљаних екстерних медија на корпоративне уређаје.

Свеобухватна стратегија дубинске одбране која потврђује идентитет, ограничава неконтролисане путеве преноса података и спроводи строгу изолацију током извршавања унутар облачних окружења може значајно смањити утицај сличних напредних кампања упада.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
21,503
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...