Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) UNC4899 Bulut Güvenlik İhlali Kampanyası

UNC4899 Bulut Güvenlik İhlali Kampanyası

Mezo'de Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

2025 yılında gerçekleşen gelişmiş bir siber saldırının, Kuzey Koreli tehdit aktörü UNC4899 ile bağlantılı olduğu düşünülüyor. Bu grubun, milyonlarca dolarlık dijital varlığın çalınmasıyla sonuçlanan büyük ölçekli bir kripto para birimi organizasyonunun güvenliğinin ihlal edilmesini organize ettiğinden şüpheleniliyor. Saldırının, devlet destekli bu düşmana atfedildiğine dair orta düzeyde bir güven duyuluyor; bu grup ayrıca Jade Sleet, PUKCHONG, Slow Pisces ve TraderTraitor gibi çeşitli isimler altında da takip ediliyor.

Olay, çok katmanlı metodolojisi nedeniyle dikkat çekiyor. Saldırganlar, sosyal mühendisliği kişiselden kurumsala eşler arası veri aktarım mekanizmalarının istismarıyla birleştirdi ve daha sonra kuruluşun bulut altyapısına yöneldi. Bulut ortamına girdikten sonra, kimlik bilgilerini ele geçirmek, konteyner sınırlarını aşmak ve hırsızlığı kolaylaştırmak için Cloud SQL veritabanlarını manipüle etmek amacıyla meşru DevOps iş akışları kötüye kullanıldı.

Kişisel Cihazdan Kurumsal Ağa: İlk Uzlaşma

Saldırı, dikkatlice planlanmış bir sosyal mühendislik kampanyasıyla başladı. Hedef alınan kuruluşta çalışan bir geliştirici, meşru bir açık kaynak iş birliği projesinin parçası olarak sunulan bir arşiv dosyasını indirmeye kandırıldı. Dosyayı kişisel cihazına indirdikten sonra, geliştirici AirDrop kullanarak dosyayı kurumsal bir iş istasyonuna aktardı ve istemeden kişisel ve kurumsal ortamlar arasında bir güvenlik bariyeri oluşturdu.

Arşivle etkileşim, yapay zeka destekli bir Entegre Geliştirme Ortamı (IDE) aracılığıyla gerçekleşti. Bu süreçte, arşive gömülü kötü amaçlı Python kodu çalıştırıldı. Kod, Kubernetes komut satırı aracı gibi görünen bir ikili dosya dağıtarak, kötü amaçlı işlemler gerçekleştirirken meşru görünmesini sağladı.

Ardından, söz konusu ikili dosya saldırganlar tarafından kontrol edilen bir alan adıyla bağlantı kurdu ve kurumsal sistem içinde bir arka kapı görevi gördü. Bu dayanak noktası, düşmanların ele geçirdikleri iş istasyonundan kuruluşun Google Cloud ortamına geçiş yapmalarını sağladı; muhtemelen aktif kimlik doğrulamalı oturumlardan ve erişilebilir kimlik bilgilerinden yararlandılar.

Bulut altyapısına girdikten sonra, saldırganlar daha fazla güvenlik açığını ele geçirmek için kullanılabilecek hizmetleri, projeleri ve erişim noktalarını belirlemeyi amaçlayan bir keşif aşamasına başladılar.

Bulut Ortamı İstismarı ve Ayrıcalık Yükseltme

Keşif aşamasında, saldırganlar bulut ortamında bir bastion sunucusu tespit etti. Sunucunun çok faktörlü kimlik doğrulama politikası özelliğini değiştirerek yetkisiz erişim sağlandı. Bu erişim, Kubernetes ortamındaki belirli pod'lara gezinme de dahil olmak üzere daha derin keşif faaliyetlerine olanak tanıdı.

Saldırganlar daha sonra, harici kötü amaçlı yazılımlar yerine öncelikle meşru bulut araçlarına ve yapılandırmalarına dayanan, bulut tabanlı bir stratejiye geçtiler. Kalıcılık, Kubernetes dağıtım yapılandırmalarının değiştirilmesiyle sağlandı; böylece yeni pod'lar oluşturulduğunda kötü amaçlı bir bash komutu otomatik olarak çalıştırılıyordu. Bu komut, bir arka kapı indirip dağıtarak sürekli erişimi sağlıyordu.

Saldırı sırasında tehdit aktörünün gerçekleştirdiği başlıca eylemler şunlardı:

  • Kuruluşun CI/CD platformuyla ilişkili Kubernetes kaynaklarını değiştirerek, sistem günlüklerinde hizmet hesabı belirteçlerini açığa çıkaran komutlar eklemek.
  • Yüksek ayrıcalıklı bir CI/CD hizmet hesabına bağlı bir token edinmek, ayrıcalık yükseltmeyi ve ağ politikaları ve yük dengelemesinden sorumlu bir pod'a doğru yatay hareketi mümkün kılar.
  • Çalınan belirteci kullanarak ayrıcalıklı modda çalışan hassas bir altyapı poduna kimlik doğrulaması yapmak, konteyner ortamından kaçmak ve kalıcı bir arka kapı kurmak.
  • Kullanıcı kimlikleri, hesap güvenlik bilgileri ve kripto para cüzdan verileri de dahil olmak üzere müşteri bilgilerini yönetmekten sorumlu iş yükünü hedeflemeden önce ek keşif çalışmaları yürütmek.
  • Pod ortam değişkenlerinde hatalı şekilde saklanan statik veritabanı kimlik bilgilerini ayıklama.
  • Bu kimlik bilgilerini Cloud SQL Auth Proxy aracılığıyla kullanarak üretim veritabanına erişim sağlandı ve parola sıfırlama ve çok faktörlü kimlik doğrulama başlangıç değerlerinin güncellenmesi de dahil olmak üzere kullanıcı hesaplarını değiştiren SQL komutları yürütüldü.

Bu manipülasyonlar, saldırganların ele geçirdikleri hesapları kontrol etmelerine ve milyonlarca dolar değerinde kripto parayı başarıyla çekmelerine olanak sağladı.

Ortamlar Arası Veri Aktarımlarının Güvenlik Etkileri

Bu olay, modern bulut tabanlı ortamlarda yaygın olarak bulunan çeşitli kritik güvenlik zafiyetlerini vurgulamaktadır. AirDrop gibi kişiselden kurumsala eşler arası veri aktarım mekanizmaları, kurumsal güvenlik kontrollerini istemeden atlayarak, kişisel cihazlara bulaşan kötü amaçlı yazılımların kurumsal sistemlere ulaşmasına olanak sağlayabilir.

Ek risk faktörleri arasında ayrıcalıklı konteyner modlarının kullanımı, iş yükleri arasında yetersiz bölümlendirme ve hassas kimlik bilgilerinin ortam değişkenlerinde güvensiz bir şekilde saklanması yer alıyordu. Bu zayıf noktaların her biri, saldırganlar ilk dayanak noktasını elde ettikten sonra saldırının etki alanını genişletiyordu.

Benzer Tehditleri Azaltmaya Yönelik Savunma Stratejileri

Bulut tabanlı altyapılar kullanan kuruluşlar, özellikle finansal varlıkları veya kripto para birimlerini yönetenler, hem uç nokta hem de bulut risklerini ele alan katmanlı savunma kontrolleri uygulamalıdır.

Etkin azaltma önlemleri şunlardır:

  • Bağlam duyarlı erişim kontrollerinin ve kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamanın uygulanması.
  • Bulut ortamlarında yalnızca güvenilir ve doğrulanmış konteyner imajlarının kullanılmasını sağlamak.
  • Güvenliği ihlal edilmiş düğümleri izole etmek ve bunların harici sunucularla bağlantı kurmasını engellemek.
  • Beklenmeyen süreçler veya anormal çalışma zamanı davranışları açısından konteyner ortamlarının izlenmesi.
  • Güçlü gizlilik yönetimi uygulamaları benimseyerek kimlik bilgilerinin ortam değişkenlerinde saklanmasını ortadan kaldırmak.
  • AirDrop veya Bluetooth gibi eşler arası dosya aktarımlarını devre dışı bırakan veya kısıtlayan uç nokta politikalarının uygulanması ve kurumsal cihazlarda yönetilmeyen harici ortamların bağlanmasının engellenmesi.

Bulut ortamlarında kimlik doğrulamayı, kontrolsüz veri aktarım yollarını kısıtlamayı ve sıkı çalışma zamanı izolasyonunu uygulamayı içeren kapsamlı bir derinlemesine savunma stratejisi, benzer gelişmiş saldırı kampanyalarının etkisini önemli ölçüde azaltabilir.

trend

En çok görüntülenen

Yükleniyor...