Kampanya ng Kompromiso sa Cloud ng UNC4899

Isang sopistikadong panghihimasok sa cyber noong 2025 ang iniugnay sa aktor ng North Korean na UNC4899, isang grupong pinaghihinalaang nag-oorganisa ng isang malawakang kompromiso sa isang organisasyon ng cryptocurrency na nagresulta sa pagnanakaw ng milyun-milyong dolyar sa mga digital asset. Ang kampanya ay iniugnay nang may katamtamang kumpiyansa sa kalaban na ito na inisponsor ng estado, na sinusubaybayan din sa ilalim ng ilang iba pang mga pangalan, kabilang ang Jade Sleet, PUKCHONG, Slow Pisces, at TraderTraitor.

Namumukod-tangi ang insidente dahil sa maraming patong na metodolohiya nito. Pinagsama ng mga umaatake ang social engineering sa pagsasamantala sa mga mekanismo ng paglilipat ng personal-to-corporate na peer-to-peer na data at kalaunan ay lumipat sa imprastraktura ng cloud ng organisasyon. Nang nasa loob na ng cloud environment, inabuso ang mga lehitimong DevOps workflow upang mangolekta ng mga kredensyal, makatakas sa mga hangganan ng container, at manipulahin ang mga database ng Cloud SQL upang mapadali ang pagnanakaw.

Mula sa Personal na Device Tungo sa Corporate Network: Ang Unang Kompromiso

Nagsimula ang pag-atake sa isang maingat na ginawang kampanya ng social engineering. Isang developer na nagtatrabaho sa loob ng target na organisasyon ang nalinlang na mag-download ng isang archive file na ipinakita bilang bahagi ng isang lehitimong open-source collaboration project. Matapos i-download ang file sa isang personal na device, inilipat ito ng developer sa isang corporate workstation gamit ang AirDrop, na hindi sinasadyang nagdugtong sa isang hangganan ng seguridad sa pagitan ng mga personal at enterprise na kapaligiran.

Ang interaksyon sa archive ay naganap sa pamamagitan ng isang AI-assisted Integrated Development Environment (IDE). Sa prosesong ito, isinagawa ang malisyosong Python code na naka-embed sa archive. Nag-deploy ang code ng binary na nagbalatkayo bilang Kubernetes command-line tool, na nagpapahintulot dito na magmukhang lehitimo habang nagsasagawa ng mga malisyosong operasyon.

Pagkatapos ay nakipag-ugnayan ang binary sa isang domain na kontrolado ng mga umaatake at gumana bilang backdoor sa loob ng sistema ng korporasyon. Ang suportang ito ay nagbigay-daan sa mga kalaban na lumipat mula sa nakompromisong workstation patungo sa Google Cloud environment ng organisasyon, malamang na ginagamit ang mga aktibong authenticated session at accessible credentials.

Nang nasa loob na ng imprastraktura ng cloud, sinimulan ng mga umaatake ang isang yugto ng pagmamanman na idinisenyo upang matukoy ang mga serbisyo, proyekto, at mga access point na maaaring magamit para sa karagdagang kompromiso.

Pagsasamantala sa Kapaligiran ng Cloud at Pagtaas ng Pribilehiyo

Sa yugto ng reconnaissance, natukoy ng mga attacker ang isang bastion host sa loob ng cloud environment. Sa pamamagitan ng pagbabago sa multi-factor authentication policy attribute ng host, nakamit ang hindi awtorisadong pag-access. Ang access na ito ay nagbigay-daan sa mas malalim na mga aktibidad sa reconnaissance, kabilang ang nabigasyon sa mga partikular na pod sa loob ng Kubernetes environment.

Pagkatapos ay lumipat ang mga umaatake sa isang estratehiyang "live-off-the-cloud", na pangunahing umaasa sa mga lehitimong cloud tool at configuration sa halip na external malware. Naitatag ang persistence sa pamamagitan ng pagbabago sa mga configuration ng deployment ng Kubernetes upang ang isang malisyosong bash command ay awtomatikong maisasagawa tuwing may mga bagong pod na nalikha. Ang command na ito ay nakakuha at nag-deploy ng backdoor, na tinitiyak ang patuloy na pag-access.

Ang mga pangunahing aksyon na isinagawa ng aktor ng banta sa panahon ng kompromiso ay kinabibilangan ng:

• Pagbabago ng mga mapagkukunan ng Kubernetes na nauugnay sa CI/CD platform ng organisasyon upang magpasok ng mga utos na naglalantad sa mga token ng service account sa mga system log.
• Pagkuha ng token na nakatali sa isang mataas na pribilehiyong CI/CD service account, na nagbibigay-daan sa pagtataas ng pribilehiyo at pag-ilid ng paggalaw patungo sa isang pod na responsable para sa mga patakaran sa network at pagbabalanse ng load.
• Paggamit ng ninakaw na token upang mag-authenticate sa isang sensitibong infrastructure pod na tumatakbo sa privileged mode, pagtakas sa container environment, at pag-install ng persistent backdoor.
• Pagsasagawa ng karagdagang pagmamanman bago i-target ang isang workload na responsable sa pamamahala ng impormasyon ng customer, kabilang ang mga pagkakakilanlan ng user, mga detalye ng seguridad ng account, at data ng cryptocurrency wallet.
• Kinukuha ang mga static na kredensyal ng database na hindi wastong naimbak sa loob ng mga variable ng kapaligiran ng pod.
• Paggamit ng mga kredensyal na iyon sa pamamagitan ng Cloud SQL Auth Proxy upang ma-access ang production database at isagawa ang mga SQL command na nagbago sa mga user account, kabilang ang mga pag-reset ng password at mga update sa mga multi-factor authentication seed para sa ilang mahahalagang account.

Ang mga manipulasyong ito sa huli ay nagbigay-daan sa mga umaatake na kontrolin ang mga nakompromisong account at matagumpay na makapag-withdraw ng ilang milyong dolyar na cryptocurrency.

Mga Implikasyon sa Seguridad ng Paglilipat ng Data sa Iba’t Ibang Kapaligiran

Itinatampok ng insidente ang ilang kritikal na kahinaan sa seguridad na karaniwang matatagpuan sa mga modernong cloud-native na kapaligiran. Ang mga mekanismo ng paglilipat ng personal-to-corporate peer-to-peer na data tulad ng AirDrop ay maaaring hindi sinasadyang malampasan ang mga kontrol sa seguridad ng enterprise, na nagbibigay-daan sa malware na ipinakilala sa mga personal na device na maabot ang mga corporate system.

Kabilang sa mga karagdagang salik sa panganib ang paggamit ng mga privileged container mode, hindi sapat na segmentasyon sa pagitan ng mga workload, at hindi ligtas na pag-iimbak ng mga sensitibong kredensyal sa mga environment variable. Ang bawat isa sa mga kahinaang ito ay nagpapataas sa blast radius ng panghihimasok nang magkaroon ng panimulang foothold ang mga umaatake.

Mga Istratehiya sa Depensa upang Bawasan ang mga Katulad na Banta

Ang mga organisasyong nagpapatakbo ng mga imprastraktura na nakabatay sa cloud, lalo na ang mga namamahala sa mga pinansyal na asset o cryptocurrency, ay dapat magpatupad ng mga layered defensive control na tumutugon sa parehong mga panganib sa endpoint at cloud.

Kabilang sa mga epektibong hakbang sa pagpapagaan ng sakit ang:

• Pagpapatupad ng mga kontrol sa pag-access na may kamalayan sa konteksto at phishing-resistant multi-factor authentication.
• Tinitiyak na tanging mga mapagkakatiwalaan at beripikadong imahe ng container lamang ang idi-deploy sa loob ng mga cloud environment.
• Paghihiwalay ng mga nakompromisong node at pagpigil sa mga ito sa pagtatatag ng mga koneksyon sa mga panlabas na host.
• Pagsubaybay sa mga kapaligiran ng lalagyan para sa mga hindi inaasahang proseso o hindi pangkaraniwang pag-uugali ng runtime.
• Pag-aampon ng matatag na mga kasanayan sa pamamahala ng mga lihim upang maalis ang pag-iimbak ng mga kredensyal sa mga variable ng kapaligiran.
• Pagpapatupad ng mga patakaran sa endpoint na hindi nagpapagana o naghihigpit sa mga peer-to-peer na paglilipat ng file tulad ng AirDrop o Bluetooth at pumipigil sa pag-mount ng mga hindi pinamamahalaang panlabas na media sa mga corporate device.

Ang isang komprehensibong estratehiyang malaliman sa depensa na nagpapatunay sa pagkakakilanlan, naghihigpit sa mga hindi makontrol na landas ng paglilipat ng data, at nagpapatupad ng mahigpit na paghihiwalay ng runtime sa loob ng mga kapaligirang cloud ay maaaring makabuluhang bawasan ang epekto ng mga katulad na advanced na kampanya ng panghihimasok.