UNC4899 云端入侵活动
2025年发生的一起复杂的网络入侵事件与朝鲜黑客组织UNC4899有关。该组织涉嫌策划了一起大规模的加密货币组织攻击事件,导致数百万美元的数字资产被盗。此次攻击活动已被初步认定为由这个国家支持的敌对组织所为,该组织还使用过其他几个名称,包括Jade Sleet、PUKCHONG、Slow Pisces和TraderTraitor。
此次事件的特殊之处在于其多层次的攻击手法。攻击者结合了社会工程学和对个人到企业点对点数据传输机制的利用,随后又将攻击目标转移到组织的云基础设施。一旦进入云环境,攻击者便滥用合法的DevOps工作流程来窃取凭证、突破容器边界并操纵Cloud SQL数据库,从而实施数据盗窃。
目录
从个人设备到企业网络:最初的妥协
此次攻击始于精心策划的社会工程攻击。目标组织内的一名开发人员被诱骗下载了一个伪装成合法开源协作项目的压缩文件。下载到个人设备后,该开发人员使用隔空投送(AirDrop)将其传输到公司工作站,无意中突破了个人环境和企业环境之间的安全边界。
与归档文件的交互是通过人工智能辅助的集成开发环境 (IDE) 进行的。在此过程中,嵌入在归档文件中的恶意 Python 代码被执行。该代码部署了一个伪装成 Kubernetes 命令行工具的二进制文件,使其在执行恶意操作的同时看起来合法。
该二进制文件随后连接到攻击者控制的域,并在企业系统中充当后门。这一立足点使攻击者能够从受感染的工作站跳转到组织的 Google Cloud 环境,很可能是利用了已认证的活动会话和可访问的凭据。
一旦进入云基础设施,攻击者便开始侦察阶段,旨在识别可用于进一步入侵的服务、项目和访问点。
云环境漏洞利用和权限提升
在侦察阶段,攻击者在云环境中识别出一个堡垒主机。通过修改该主机的多因素身份验证策略属性,攻击者实现了未经授权的访问。这种访问权限使得攻击者能够进行更深入的侦察活动,包括导航到 Kubernetes 环境中的特定 Pod。
攻击者随后转向“云端生存”策略,主要依赖合法的云工具和配置,而非外部恶意软件。他们通过篡改 Kubernetes 部署配置来实现持久化,使得每当创建新的 Pod 时,都会自动执行一条恶意 bash 命令。该命令会获取并部署一个后门,从而确保持续访问。
攻击者在入侵过程中执行的关键操作包括:
- 修改与组织 CI/CD 平台相关的 Kubernetes 资源,以注入命令,从而在系统日志中暴露服务帐户令牌。
- 获取与高权限 CI/CD 服务帐户关联的令牌,从而实现权限提升和横向移动到负责网络策略和负载均衡的 pod。
- 使用被盗令牌对以特权模式运行的敏感基础设施 pod 进行身份验证,逃离容器环境,并安装持久后门。
- 在针对负责管理客户信息(包括用户身份、帐户安全详细信息和加密货币钱包数据)的工作负载进行额外侦察之前,先进行调查。
- 提取错误存储在 pod 环境变量中的静态数据库凭据。
- 利用这些凭证通过 Cloud SQL Auth Proxy 访问生产数据库并执行 SQL 命令来修改用户帐户,包括重置密码和更新多个高价值帐户的多因素身份验证种子。
这些操作最终使攻击者能够控制被盗账户,并成功提取数百万美元的加密货币。
跨环境数据传输的安全隐患
此次事件凸显了现代云原生环境中常见的几个关键安全漏洞。诸如 AirDrop 之类的个人与企业之间的点对点数据传输机制可能会无意中绕过企业安全控制,使个人设备上的恶意软件能够入侵企业系统。
其他风险因素包括使用特权容器模式、工作负载之间隔离不足以及将敏感凭证不安全地存储在环境变量中。一旦攻击者获得初始立足点,这些弱点都会扩大入侵的影响范围。
应对类似威胁的防御策略
运营云基础设施的组织,特别是管理金融资产或加密货币的组织,必须实施分层防御控制,以应对终端风险和云风险。
有效的缓解措施包括:
- 实施上下文感知访问控制和防钓鱼多因素身份验证。
- 确保只有受信任和经过验证的容器镜像才能部署到云环境中。
- 隔离受损节点,并阻止其与外部主机建立连接。
- 监控容器环境,发现意外进程或异常运行时行为。
- 采用稳健的密钥管理措施,消除在环境变量中存储凭据的做法。
- 强制执行终端策略,禁用或限制点对点文件传输(如 AirDrop 或蓝牙),并阻止在企业设备上挂载非托管外部媒体。
全面的纵深防御策略,验证身份、限制不受控制的数据传输路径,并在云环境中强制执行严格的运行时隔离,可以显著降低类似高级入侵活动的影响。
