عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) حملة اختراق السحابة UNC4899

حملة اختراق السحابة UNC4899

بواسطة Mezo في التهديد المستمر المتقدم (APT)
ترجمة الى:

نُسبت عملية اختراق إلكتروني متطورة في عام 2025 إلى مجموعة التهديد الكورية الشمالية UNC4899، المشتبه بتدبيرها عملية اختراق واسعة النطاق لمنظمة عملات مشفرة، أسفرت عن سرقة ملايين الدولارات من الأصول الرقمية. وقد نُسبت هذه الحملة، بدرجة ثقة متوسطة، إلى هذا الخصم المدعوم من الدولة، والذي يُرصد أيضًا تحت عدة أسماء أخرى، منها Jade Sleet وPUKCHONG وSlow Pisces وTraderTraitor.

يتميز هذا الحادث بمنهجيته متعددة المستويات. فقد جمع المهاجمون بين الهندسة الاجتماعية واستغلال آليات نقل البيانات من الأفراد إلى الشركات عبر شبكات الند للند، ثم انتقلوا لاحقًا إلى البنية التحتية السحابية للمؤسسة. وبمجرد دخولهم إلى بيئة الحوسبة السحابية، تم استغلال عمليات DevOps المشروعة لجمع بيانات الاعتماد، وتجاوز حدود الحاويات، والتلاعب بقواعد بيانات Cloud SQL لتسهيل عملية السرقة.

من الجهاز الشخصي إلى شبكة الشركة: التسوية الأولية

بدأ الهجوم بحملة هندسة اجتماعية مُحكمة التخطيط. تم خداع أحد المطورين العاملين في المؤسسة المستهدفة لتحميل ملف مضغوط عُرض على أنه جزء من مشروع تعاوني مشروع مفتوح المصدر. بعد تحميل الملف على جهازه الشخصي، نقله المطور إلى محطة عمل الشركة باستخدام خاصية AirDrop، مما أدى دون قصد إلى اختراق حدود الأمان بين بيئتي المستخدم والشركة.

تم التفاعل مع الأرشيف عبر بيئة تطوير متكاملة (IDE) مدعومة بالذكاء الاصطناعي. وخلال هذه العملية، تم تنفيذ شيفرة بايثون خبيثة مضمنة في الأرشيف. قامت هذه الشيفرة بنشر ملف تنفيذي متنكر في هيئة أداة سطر أوامر Kubernetes، مما سمح لها بالظهور بمظهر شرعي أثناء تنفيذ عمليات خبيثة.

ثم اتصل البرنامج الخبيث بنطاق يسيطر عليه المهاجمون، وعمل كباب خلفي داخل نظام الشركة. وقد مكّن هذا الموطئ المهاجمين من الانتقال من محطة العمل المخترقة إلى بيئة جوجل كلاود الخاصة بالمنظمة، مستغلين على الأرجح جلسات المصادقة النشطة وبيانات الاعتماد المتاحة.

وبمجرد دخولهم إلى البنية التحتية السحابية، بدأ المهاجمون مرحلة استطلاع مصممة لتحديد الخدمات والمشاريع ونقاط الوصول التي يمكن استغلالها لمزيد من الاختراق.

استغلال بيئة الحوسبة السحابية وتصعيد الامتيازات

خلال مرحلة الاستطلاع، حدد المهاجمون خادمًا وسيطًا داخل بيئة الحوسبة السحابية. ومن خلال تعديل سمة سياسة المصادقة متعددة العوامل الخاصة بالخادم، تمكنوا من الوصول غير المصرح به. وقد مكّن هذا الوصول من القيام بأنشطة استطلاع أعمق، بما في ذلك الوصول إلى وحدات محددة داخل بيئة Kubernetes.

ثم انتقل المهاجمون إلى استراتيجية تعتمد على الحوسبة السحابية، معتمدين بشكل أساسي على أدوات وإعدادات سحابية شرعية بدلاً من البرامج الضارة الخارجية. وقد تم ضمان استمرارية الوصول عن طريق تعديل إعدادات نشر Kubernetes بحيث يتم تنفيذ أمر bash خبيث تلقائيًا عند إنشاء وحدات pods جديدة. يقوم هذا الأمر باستخراج ونشر باب خلفي، مما يضمن استمرار الوصول.

تضمنت الإجراءات الرئيسية التي قام بها المهاجم أثناء عملية الاختراق ما يلي:

  • تعديل موارد Kubernetes المرتبطة بمنصة CI/CD الخاصة بالمنظمة لإدخال أوامر تكشف عن رموز حساب الخدمة في سجلات النظام.
  • الحصول على رمز مميز مرتبط بحساب خدمة CI/CD ذي امتيازات عالية، مما يتيح تصعيد الامتيازات والتحرك الجانبي نحو وحدة مسؤولة عن سياسات الشبكة وموازنة الأحمال.
  • استخدام الرمز المميز المسروق للمصادقة على وحدة بنية تحتية حساسة تعمل في وضع مميز، والهروب من بيئة الحاوية، وتثبيت باب خلفي دائم.
  • إجراء استطلاع إضافي قبل استهداف عبء العمل المسؤول عن إدارة معلومات العملاء، بما في ذلك هويات المستخدمين وتفاصيل أمان الحساب وبيانات محفظة العملات المشفرة.
  • استخراج بيانات اعتماد قاعدة البيانات الثابتة التي تم تخزينها بشكل غير صحيح داخل متغيرات بيئة pod.
  • الاستفادة من بيانات الاعتماد هذه من خلال Cloud SQL Auth Proxy للوصول إلى قاعدة بيانات الإنتاج وتنفيذ أوامر SQL التي عدلت حسابات المستخدمين، بما في ذلك إعادة تعيين كلمات المرور وتحديثات لبذور المصادقة متعددة العوامل للعديد من الحسابات ذات القيمة العالية.

سمحت هذه التلاعبات في نهاية المطاف للمهاجمين بالسيطرة على الحسابات المخترقة وسحب عدة ملايين من الدولارات من العملات المشفرة بنجاح.

الآثار الأمنية لنقل البيانات بين البيئات المختلفة

يسلط هذا الحادث الضوء على العديد من نقاط الضعف الأمنية الخطيرة الشائعة في بيئات الحوسبة السحابية الحديثة. إذ يمكن لآليات نقل البيانات من الأجهزة الشخصية إلى أجهزة الشركات، مثل AirDrop، أن تتجاوز ضوابط أمن المؤسسات دون قصد، مما يسمح للبرامج الضارة التي تم إدخالها على الأجهزة الشخصية بالوصول إلى أنظمة الشركات.

تضمنت عوامل الخطر الإضافية استخدام أوضاع الحاويات ذات الامتيازات، وعدم كفاية تجزئة أحمال العمل، والتخزين غير الآمن للبيانات الحساسة في متغيرات البيئة. وقد أدى كل من هذه الثغرات إلى زيادة نطاق تأثير الاختراق بمجرد أن يتمكن المهاجمون من ترسيخ وجودهم الأولي.

استراتيجيات دفاعية للتخفيف من حدة التهديدات المماثلة

يجب على المؤسسات التي تدير بنى تحتية قائمة على الحوسبة السحابية، وخاصة تلك التي تدير الأصول المالية أو العملات المشفرة، تطبيق ضوابط دفاعية متعددة الطبقات تعالج مخاطر نقاط النهاية ومخاطر السحابة.

تشمل تدابير التخفيف الفعالة ما يلي:

  • تطبيق ضوابط الوصول الواعية بالسياق والمصادقة متعددة العوامل المقاومة للتصيد الاحتيالي.
  • ضمان نشر صور الحاويات الموثوقة والمُدققة فقط داخل بيئات الحوسبة السحابية.
  • عزل العقد المخترقة ومنعها من إنشاء اتصالات مع المضيفين الخارجيين.
  • مراقبة بيئات الحاويات بحثًا عن عمليات غير متوقعة أو سلوك غير طبيعي أثناء التشغيل.
  • اعتماد ممارسات قوية لإدارة الأسرار بهدف التخلص من تخزين بيانات الاعتماد في متغيرات البيئة.
  • تطبيق سياسات نقاط النهاية التي تعطل أو تقيد عمليات نقل الملفات من نظير إلى نظير مثل AirDrop أو Bluetooth ومنع تركيب الوسائط الخارجية غير المُدارة على أجهزة الشركة.

إن استراتيجية الدفاع المتعمق الشاملة التي تتحقق من الهوية، وتقيد مسارات نقل البيانات غير الخاضعة للرقابة، وتفرض عزلًا صارمًا لوقت التشغيل داخل بيئات الحوسبة السحابية، يمكن أن تقلل بشكل كبير من تأثير حملات الاختراق المتقدمة المماثلة.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
21,503
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...