Chiến dịch xâm nhập đám mây UNC4899

Một vụ xâm nhập mạng tinh vi vào năm 2025 được cho là có liên quan đến nhóm tin tặc Triều Tiên UNC4899, một nhóm bị nghi ngờ đã dàn dựng một vụ tấn công quy mô lớn vào một tổ chức tiền điện tử, dẫn đến việc đánh cắp hàng triệu đô la tài sản kỹ thuật số. Chiến dịch này được cho là do đối thủ được nhà nước Triều Tiên bảo trợ thực hiện với độ tin cậy vừa phải, nhóm này cũng được theo dõi dưới một số tên khác, bao gồm Jade Sleet, PUKCHONG, Slow Pisces và TraderTraitor.

Vụ việc này nổi bật bởi phương pháp tấn công đa tầng. Kẻ tấn công đã kết hợp kỹ thuật xã hội với việc khai thác các cơ chế truyền dữ liệu ngang hàng (peer-to-peer) giữa cá nhân và doanh nghiệp, sau đó chuyển hướng sang cơ sở hạ tầng đám mây của tổ chức. Sau khi xâm nhập vào môi trường đám mây, các quy trình làm việc DevOps hợp pháp đã bị lợi dụng để thu thập thông tin đăng nhập, vượt qua ranh giới vùng chứa và thao túng cơ sở dữ liệu Cloud SQL nhằm thực hiện hành vi trộm cắp.

Từ thiết bị cá nhân đến mạng doanh nghiệp: Bước thỏa hiệp ban đầu

Cuộc tấn công bắt đầu bằng một chiến dịch kỹ thuật xã hội được dàn dựng tỉ mỉ. Một nhà phát triển làm việc trong tổ chức mục tiêu đã bị lừa tải xuống một tập tin lưu trữ được giới thiệu là một phần của dự án hợp tác mã nguồn mở hợp pháp. Sau khi tải tập tin xuống thiết bị cá nhân, nhà phát triển đã chuyển nó sang máy trạm của công ty bằng AirDrop, vô tình tạo ra một lỗ hổng bảo mật giữa môi trường cá nhân và doanh nghiệp.

Việc tương tác với kho lưu trữ diễn ra thông qua Môi trường Phát triển Tích hợp (IDE) hỗ trợ bởi Trí tuệ Nhân tạo (AI). Trong quá trình này, mã Python độc hại được nhúng trong kho lưu trữ đã được thực thi. Mã này triển khai một tệp nhị phân được ngụy trang thành công cụ dòng lệnh Kubernetes, cho phép nó trông có vẻ hợp pháp trong khi thực hiện các hoạt động độc hại.

Sau đó, tệp nhị phân này đã liên lạc với một tên miền do kẻ tấn công kiểm soát và hoạt động như một cửa hậu trong hệ thống của công ty. Điểm xâm nhập này cho phép kẻ thù chuyển hướng từ máy trạm bị xâm nhập sang môi trường Google Cloud của tổ chức, có thể bằng cách lợi dụng các phiên xác thực đang hoạt động và thông tin đăng nhập có thể truy cập được.

Sau khi xâm nhập vào cơ sở hạ tầng đám mây, những kẻ tấn công bắt đầu giai đoạn trinh sát nhằm xác định các dịch vụ, dự án và điểm truy cập có thể bị lợi dụng để thực hiện các hành vi xâm phạm tiếp theo.

Khai thác môi trường đám mây và leo thang đặc quyền

Trong giai đoạn trinh sát, những kẻ tấn công đã xác định được một máy chủ bảo vệ (bastion host) trong môi trường điện toán đám mây. Bằng cách sửa đổi thuộc tính chính sách xác thực đa yếu tố của máy chủ, chúng đã giành được quyền truy cập trái phép. Quyền truy cập này cho phép thực hiện các hoạt động trinh sát sâu hơn, bao gồm cả việc điều hướng đến các pod cụ thể trong môi trường Kubernetes.

Sau đó, những kẻ tấn công chuyển sang chiến lược "sống nhờ điện toán đám mây", chủ yếu dựa vào các công cụ và cấu hình đám mây hợp pháp thay vì phần mềm độc hại bên ngoài. Chúng thiết lập được khả năng duy trì hoạt động bằng cách thay đổi cấu hình triển khai Kubernetes để một lệnh bash độc hại tự động được thực thi mỗi khi các pod mới được tạo. Lệnh này sẽ tải xuống và triển khai một cửa hậu, đảm bảo quyền truy cập liên tục.

Các hành động chính mà kẻ tấn công thực hiện trong quá trình xâm nhập bao gồm:

• Sửa đổi các tài nguyên Kubernetes liên kết với nền tảng CI/CD của tổ chức để chèn các lệnh làm lộ thông tin mã định danh tài khoản dịch vụ vào nhật ký hệ thống.
• Việc giành được mã thông báo gắn liền với tài khoản dịch vụ CI/CD có đặc quyền cao, cho phép leo thang đặc quyền và di chuyển ngang tới một pod chịu trách nhiệm về chính sách mạng và cân bằng tải.
• Sử dụng mã thông báo bị đánh cắp để xác thực với một pod cơ sở hạ tầng nhạy cảm đang hoạt động ở chế độ đặc quyền, thoát khỏi môi trường container và cài đặt một cửa hậu tồn tại lâu dài.
• Tiến hành trinh sát bổ sung trước khi nhắm mục tiêu vào khối lượng công việc chịu trách nhiệm quản lý thông tin khách hàng, bao gồm danh tính người dùng, chi tiết bảo mật tài khoản và dữ liệu ví tiền điện tử.
• Trích xuất thông tin đăng nhập cơ sở dữ liệu tĩnh được lưu trữ không đúng cách trong các biến môi trường của pod.
• Sử dụng thông tin đăng nhập đó thông qua Cloud SQL Auth Proxy để truy cập vào cơ sở dữ liệu sản xuất và thực thi các lệnh SQL nhằm sửa đổi tài khoản người dùng, bao gồm đặt lại mật khẩu và cập nhật mã xác thực đa yếu tố cho một số tài khoản quan trọng.

Những thủ đoạn này cuối cùng đã cho phép kẻ tấn công kiểm soát các tài khoản bị xâm phạm và rút thành công vài triệu đô la tiền điện tử.

Những hệ lụy về bảo mật của việc chuyển dữ liệu giữa các môi trường khác nhau

Sự cố này làm nổi bật một số điểm yếu bảo mật nghiêm trọng thường thấy trong môi trường điện toán đám mây hiện đại. Các cơ chế truyền dữ liệu ngang hàng từ cá nhân đến doanh nghiệp như AirDrop có thể vô tình bỏ qua các biện pháp kiểm soát bảo mật của doanh nghiệp, cho phép phần mềm độc hại được đưa vào thiết bị cá nhân xâm nhập vào hệ thống của doanh nghiệp.

Các yếu tố rủi ro bổ sung bao gồm việc sử dụng các chế độ container đặc quyền, phân vùng không đầy đủ giữa các khối lượng công việc và lưu trữ không an toàn các thông tin đăng nhập nhạy cảm trong các biến môi trường. Mỗi điểm yếu này đều làm tăng phạm vi ảnh hưởng của cuộc xâm nhập một khi kẻ tấn công giành được quyền kiểm soát ban đầu.

Các chiến lược phòng thủ để giảm thiểu các mối đe dọa tương tự

Các tổ chức vận hành cơ sở hạ tầng dựa trên điện toán đám mây, đặc biệt là những tổ chức quản lý tài sản tài chính hoặc tiền điện tử, phải triển khai các biện pháp kiểm soát phòng thủ nhiều lớp nhằm giải quyết cả rủi ro ở thiết bị đầu cuối và rủi ro trên đám mây.

Các biện pháp giảm thiểu hiệu quả bao gồm:

• Triển khai các biện pháp kiểm soát truy cập dựa trên ngữ cảnh và xác thực đa yếu tố chống lừa đảo.
• Đảm bảo chỉ những ảnh container đáng tin cậy và đã được xác minh mới được triển khai trong môi trường đám mây.
• Cô lập các nút bị xâm nhập và ngăn chặn chúng thiết lập kết nối với các máy chủ bên ngoài.
• Giám sát môi trường container để phát hiện các tiến trình bất thường hoặc hành vi hoạt động không mong muốn.
• Áp dụng các phương pháp quản lý bí mật mạnh mẽ để loại bỏ việc lưu trữ thông tin xác thực trong các biến môi trường.
• Thực thi các chính sách điểm cuối nhằm vô hiệu hóa hoặc hạn chế việc truyền tệp ngang hàng như AirDrop hoặc Bluetooth và ngăn chặn việc gắn kết các thiết bị lưu trữ ngoài không được quản lý trên các thiết bị của công ty.

Một chiến lược phòng thủ đa lớp toàn diện, bao gồm xác thực danh tính, hạn chế các đường truyền dữ liệu không kiểm soát và thực thi cách ly nghiêm ngặt trong môi trường đám mây, có thể giảm thiểu đáng kể tác động của các chiến dịch xâm nhập nâng cao tương tự.