UNC4899 雲端入侵活動
2025年發生的一起複雜的網路入侵事件與北韓駭客組織UNC4899有關。該組織涉嫌策劃了一起大規模的加密貨幣組織攻擊事件,導致數百萬美元的數位資產被盜。這項攻擊活動已被初步認定為由這個國家支持的敵對組織所為,該組織還使用過其他幾個名稱,包括Jade Sleet、PUKCHONG、Slow Pisces和TraderTraitor。
此次事件的特殊之處在於其多層次的攻擊手法。攻擊者結合了社會工程學和對個人到企業點對點資料傳輸機制的利用,隨後將攻擊目標轉移到組織的雲端基礎設施。一旦進入雲端環境,攻擊者便濫用合法的DevOps工作流程來竊取憑證、突破容器邊界並操縱Cloud SQL資料庫,從而實施資料竊取。
目錄
從個人裝置到企業網路:最初的妥協
這次攻擊始於精心策劃的社會工程攻擊。目標組織內的一名開發人員被誘騙下載了一個偽裝成合法開源協作專案的壓縮檔案。下載到個人裝置後,該開發人員使用隔空投送(AirDrop)將其傳輸到公司工作站,無意中突破了個人環境和企業環境之間的安全邊界。
與歸檔文件的互動是透過人工智慧輔助的整合開發環境 (IDE) 進行的。在此過程中,嵌入在歸檔文件中的惡意 Python 程式碼被執行。該程式碼部署了一個偽裝成 Kubernetes 命令列工具的二進位文件,使其在執行惡意操作的同時看起來合法。
該二進位檔案隨後連接到攻擊者控制的網域,並在企業系統中充當後門。這個立足點使攻擊者能夠從受感染的工作站跳到組織的 Google Cloud 環境,很可能是利用了已認證的活動會話和可存取的憑證。
一旦進入雲端基礎設施,攻擊者便開始偵察階段,旨在識別可用於進一步入侵的服務、項目和存取點。
雲端環境漏洞利用和權限提升
在偵察階段,攻擊者在雲端環境中辨識出一個堡壘主機。透過修改該主機的多因素身份驗證策略屬性,攻擊者實現了未經授權的存取。這種存取權限使得攻擊者能夠進行更深入的偵察活動,包括導航到 Kubernetes 環境中的特定 Pod。
攻擊者隨後轉向「雲端生存」策略,主要依賴合法的雲端工具和配置,而非外部惡意軟體。他們透過篡改 Kubernetes 部署配置來實現持久化,使得每當創建新的 Pod 時,都會自動執行一條惡意 bash 命令。此命令會取得並部署一個後門,從而確保持續存取。
攻擊者在入侵過程中執行的關鍵操作包括:
- 修改與組織 CI/CD 平台相關的 Kubernetes 資源,以注入命令,從而在系統日誌中暴露服務帳戶令牌。
- 取得與高權限 CI/CD 服務帳戶關聯的令牌,從而實現權限提升和橫向移動到負責網路策略和負載平衡的 pod。
- 使用被盜令牌對以特權模式運作的敏感基礎架構 pod 進行驗證,逃離容器環境,並安裝持久後門。
- 在針對負責管理客戶資訊(包括使用者身分、帳戶安全詳細資料和加密貨幣錢包資料)的工作負載進行額外偵察之前,先進行調查。
- 提取錯誤儲存在 pod 環境變數中的靜態資料庫憑證。
- 利用這些憑證透過 Cloud SQL Auth Proxy 存取生產資料庫並執行 SQL 命令來修改使用者帳戶,包括重設密碼和更新多個高價值帳戶的多因素身份驗證種子。
這些操作最終使攻擊者能夠控制被盜帳戶,並成功提取數百萬美元的加密貨幣。
跨環境資料傳輸的安全隱患
這次事件凸顯了現代雲端原生環境中常見的幾個關鍵安全漏洞。諸如 AirDrop 之類的個人與企業之間的點對點資料傳輸機制可能會無意中繞過企業安全控制,使個人裝置上的惡意軟體能夠入侵企業系統。
其他風險因素包括使用特權容器模式、工作負載之間隔離不足以及將敏感憑證不安全地儲存在環境變數中。一旦攻擊者獲得初始立足點,這些弱點就會擴大入侵的影響範圍。
應對類似威脅的防禦策略
營運雲端基礎設施的組織,特別是管理金融資產或加密貨幣的組織,必須實施分層防禦控制,以應對終端風險和雲端風險。
有效的緩解措施包括:
- 實施上下文感知存取控制和防釣魚的多因素身份驗證。
- 確保只有受信任和經過驗證的容器鏡像才能部署到雲端環境。
- 隔離受損節點,並阻止其與外部主機建立連線。
- 監控容器環境,發現意外進程或異常運行時行為。
- 採用穩健的金鑰管理措施,消除在環境變數中儲存憑證的做法。
- 強制執行終端策略,停用或限制點對點檔案傳輸(如 AirDrop 或藍牙),並阻止在企業裝置上掛載非託管外部媒體。
全面的縱深防禦策略,驗證身分、限制不受控制的資料傳輸路徑,並在雲端環境中強制執行嚴格的運行時隔離,可以顯著降低類似進階入侵活動的影響。
