Знижка на кілька ліцензій
База даних загроз Розширена постійна загроза (APT) Кампанія з компрометації хмарних технологій UNC4899

Кампанія з компрометації хмарних технологій UNC4899

До Mezo року в Розширена постійна загроза (APT) році
Перекласти на:

Витончене кібервторгнення у 2025 році пов'язують з північнокорейським кіберзлочинцем UNC4899, групою, яку підозрюють в організації масштабного викрадання криптовалютної організації, що призвело до крадіжки цифрових активів на мільйони доларів. Кампанія з помірною впевненістю приписується цьому спонсорованому державою супротивнику, якого також відстежують під кількома іншими іменами, включаючи Jade Sleet, PUKCHONG, Slow Pisces та TraderTraitor.

Цей інцидент вирізняється багаторівневою методологією. Зловмисники поєднали соціальну інженерію з використанням механізмів передачі даних між особистими та корпоративними одноранговими мережами, а пізніше перемістили дані в хмарну інфраструктуру організації. Потрапивши в хмарне середовище, легітимні робочі процеси DevOps були використані для збору облікових даних, обходу меж контейнерів та маніпулювання базами даних Cloud SQL з метою полегшення крадіжки.

Від персонального пристрою до корпоративної мережі: початковий компроміс

Атака розпочалася з ретельно розробленої кампанії соціальної інженерії. Розробника, який працював у цільовій організації, обманом змусили завантажити архівний файл, представлений як частина легітимного спільного проєкту з відкритим кодом. Після завантаження файлу на особистий пристрій розробник переніс його на корпоративну робочу станцію за допомогою AirDrop, ненавмисно подолавши межу безпеки між особистим та корпоративним середовищами.

Взаємодія з архівом відбувалася через інтегроване середовище розробки (IDE) за допомогою штучного інтелекту. Під час цього процесу було виконано шкідливий код Python, вбудований в архів. Код розгорнув бінарний файл, замаскований під інструмент командного рядка Kubernetes, що дозволило йому виглядати легітимним під час виконання шкідливих операцій.

Потім бінарний файл зв’язався з доменом, контрольованим зловмисниками, і функціонував як бекдор у корпоративній системі. Цей плацдарм дозволив зловмисникам перейти зі скомпрометованої робочої станції до середовища Google Cloud організації, ймовірно, використовуючи активні автентифіковані сеанси та доступні облікові дані.

Потрапивши в хмарну інфраструктуру, зловмисники розпочали фазу розвідки, призначену для виявлення сервісів, проектів та точок доступу, які можна було б використати для подальшого злому.

Експлуатація хмарного середовища та ескалація привілеїв

Під час розвідки зловмисники виявили хост-бастіон у хмарному середовищі. Змінивши атрибут політики багатофакторної автентифікації хоста, було здійснено несанкціонований доступ. Цей доступ дозволив глибшу розвідувальну діяльність, включаючи навігацію до певних подів у середовищі Kubernetes.

Потім зловмисники перейшли до стратегії «життя поза хмарою», покладаючись переважно на легітимні хмарні інструменти та конфігурації, а не на зовнішнє шкідливе програмне забезпечення. Персистентність було забезпечено шляхом зміни конфігурацій розгортання Kubernetes таким чином, щоб шкідлива команда bash автоматично виконувалася щоразу, коли створювалися нові pod-системи. Ця команда витягувала та розгортала бекдор, забезпечуючи безперервний доступ.

Ключові дії, виконані зловмисником під час компрометації, включали:

  • Зміна ресурсів Kubernetes, пов’язаних із платформою CI/CD організації, для вставки команд, які розкривають токени облікових записів служби в системних журналах.
  • Отримання токена, прив'язаного до облікового запису служби CI/CD з високими привілеями, що дозволяє ескалацію привілеїв та горизонтальний рух до модуля, відповідального за мережеві політики та балансування навантаження.
  • Використання викраденого токена для автентифікації в чутливому інфраструктурному поді, що працює в привілейованому режимі, вихід з середовища контейнера та встановлення постійного бекдора.
  • Проведення додаткової розвідки перед тим, як зосередитися на робочому навантаженні, відповідальному за управління інформацією про клієнтів, включаючи ідентифікатори користувачів, дані безпеки облікового запису та дані криптовалютних гаманців.
  • Вилучення статичних облікових даних бази даних, які були неправильно збережені у змінних середовища pod.
  • Використання цих облікових даних через проксі-сервер автентифікації Cloud SQL для доступу до робочої бази даних та виконання команд SQL, які змінювали облікові записи користувачів, включаючи скидання паролів та оновлення початкових значень багатофакторної автентифікації для кількох цінних облікових записів.

Ці маніпуляції зрештою дозволили зловмисникам контролювати скомпрометовані облікові записи та успішно вивести кілька мільйонів доларів у криптовалюті.

Наслідки передачі даних між середовищами для безпеки

Цей інцидент висвітлює кілька критичних недоліків безпеки, які зазвичай зустрічаються в сучасних хмарних середовищах. Механізми передачі даних між особистими та корпоративними одноранговими пристроями, такі як AirDrop, можуть ненавмисно обходити засоби контролю безпеки підприємства, дозволяючи шкідливому програмному забезпеченню, впровадженому на особисті пристрої, потрапляти в корпоративні системи.

Додаткові фактори ризику включали використання привілейованих режимів контейнерів, недостатню сегментацію між робочими навантаженнями та незахищене зберігання конфіденційних облікових даних у змінних середовища. Кожна з цих слабких місць збільшувала радіус вибуху вторгнення, як тільки зловмисники отримували початкову опору.

Оборонні стратегії для пом'якшення подібних загроз

Організації, що експлуатують хмарні інфраструктури, особливо ті, що керують фінансовими активами або криптовалютою, повинні впроваджувати багаторівневі захисні засоби контролю, що враховують ризики як кінцевих точок, так і хмари.

Ефективні заходи пом'якшення наслідків включають:

  • Впровадження контекстно-залежного контролю доступу та багатофакторної автентифікації, стійкої до фішингу.
  • Забезпечення розгортання лише перевірених та перевірених образів контейнерів у хмарних середовищах.
  • Ізоляція скомпрометованих вузлів та запобігання їм встановлювати з'єднання із зовнішніми хостами.
  • Моніторинг середовищ контейнерів на наявність неочікуваних процесів або аномальної поведінки під час виконання.
  • Впровадження надійних практик управління секретами для усунення необхідності зберігання облікових даних у змінних середовища.
  • Застосування політик кінцевих точок, які вимикають або обмежують передачу файлів між вузлами, таку як AirDrop або Bluetooth, та запобігають монтуванню некерованих зовнішніх носіїв на корпоративних пристроях.

Комплексна стратегія глибокого захисту, яка перевіряє ідентифікаційні дані, обмежує неконтрольовані шляхи передачі даних та забезпечує сувору ізоляцію під час виконання в хмарних середовищах, може значно зменшити вплив подібних просунутих кампаній із вторгнення.

В тренді

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
21,503
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...