Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) UNC4899 Molnkompromisskampanj

UNC4899 Molnkompromisskampanj

Med Mezo år Advanced Persistent Threat (APT)
Översätt till:

Ett sofistikerat cyberintrång år 2025 har kopplats till den nordkoreanska hotbildsaktören UNC4899, en grupp som misstänks ha orkestrerat en storskalig kompromiss mot en kryptovalutaorganisation som resulterade i stöld av digitala tillgångar värda miljontals dollar. Kampanjen har med måttlig säkerhet tillskrivits denna statsstödda motståndare, som också spåras under flera andra namn, inklusive Jade Sleet, PUKCHONG, Slow Pisces och TraderTraitor.

Incidenten utmärker sig genom sin mångfacetterade metod. Angriparna kombinerade social ingenjörskonst med utnyttjande av peer-to-peer-dataöverföringsmekanismer mellan privatpersoner och företag och manipulerade senare organisationens molninfrastruktur. Väl inne i molnmiljön missbrukades legitima DevOps-arbetsflöden för att samla in autentiseringsuppgifter, ta sig ur containergränser och manipulera Cloud SQL-databaser för att underlätta stölden.

Från personlig enhet till företagsnätverk: Den första kompromissen

Attacken började med en noggrant utformad social engineering-kampanj. En utvecklare som arbetade inom den drabbade organisationen lurades att ladda ner en arkivfil som presenterades som en del av ett legitimt samarbetsprojekt med öppen källkod. Efter att ha laddat ner filen till en personlig enhet överförde utvecklaren den till en företagsarbetsstation med hjälp av AirDrop, vilket oavsiktligt överbryggade en säkerhetsgräns mellan personliga och företagsmiljöer.

Interaktion med arkivet skedde via en AI-assisterad integrerad utvecklingsmiljö (IDE). Under denna process kördes skadlig Python-kod inbäddad i arkivet. Koden distribuerade en binärfil förklädd till Kubernetes kommandoradsverktyg, vilket gjorde att den kunde verka legitim medan den utförde skadliga operationer.

Binärfilen kontaktade sedan en domän som kontrollerades av angriparna och fungerade som en bakdörr i företagets system. Detta fotfäste gjorde det möjligt för angriparna att byta från den komprometterade arbetsstationen till organisationens Google Cloud-miljö, troligen med hjälp av aktiva autentiserade sessioner och tillgängliga inloggningsuppgifter.

Väl inne i molninfrastrukturen inledde angriparna en rekognoseringsfas utformad för att identifiera tjänster, projekt och åtkomstpunkter som kunde utnyttjas för ytterligare kompromettering.

Utnyttjande av molnmiljöer och eskalering av privilegier

Under rekognoseringsfasen identifierade angriparna en bastionvärd i molnmiljön. Genom att modifiera värdens attribut för multifaktorautentisering uppnåddes obehörig åtkomst. Denna åtkomst möjliggjorde djupare rekognoseringsaktiviteter, inklusive navigering till specifika poddar i Kubernetes-miljön.

Angriparna övergick sedan till en strategi där de leva utanför molnet, och förlitade sig främst på legitima molnverktyg och konfigurationer snarare än extern skadlig kod. Persistens etablerades genom att ändra Kubernetes distributionskonfigurationer så att ett skadligt bash-kommando automatiskt kördes när nya poddar skapades. Detta kommando hämtade och driftsatte en bakdörr, vilket säkerställde fortsatt åtkomst.

Viktiga åtgärder som utfördes av hotaktören under komprometteringen inkluderade:

  • Modifiera Kubernetes-resurser som är associerade med organisationens CI/CD-plattform för att injicera kommandon som exponerade tjänstkontotokens i systemloggar.
  • Förvärva en token kopplad till ett högprivilegierat CI/CD-tjänstkonto, vilket möjliggör privilegieupptrappning och lateral förflyttning mot en pod som ansvarar för nätverkspolicyer och lastbalansering.
  • Använda den stulna token för att autentisera mot en känslig infrastrukturpod som arbetar i privilegierat läge, undvika containermiljön och installera en beständig bakdörr.
  • Genomföra ytterligare rekognoscering innan man riktar in sig på en arbetsbelastning som ansvarar för att hantera kundinformation, inklusive användaridentiteter, kontosäkerhetsuppgifter och kryptovalutaplånboksdata.
  • Extraherar statiska databasuppgifter som lagrats felaktigt i pod-miljövariabler.
  • Utnyttja dessa inloggningsuppgifter via Cloud SQL Auth Proxy för att komma åt produktionsdatabasen och köra SQL-kommandon som modifierade användarkonton, inklusive lösenordsåterställningar och uppdateringar av flerfaktorsautentiseringsfrön för flera värdefulla konton.

Dessa manipulationer gjorde det slutligen möjligt för angriparna att kontrollera komprometterade konton och framgångsrikt ta ut flera miljoner dollar i kryptovaluta.

Säkerhetskonsekvenser av dataöverföringar mellan miljöer

Incidenten belyser flera kritiska säkerhetsbrister som vanligtvis finns i moderna molnbaserade miljöer. Dataöverföringsmekanismer mellan privatpersoner och företag, som AirDrop, kan oavsiktligt kringgå företagets säkerhetskontroller, vilket gör att skadlig programvara som introduceras på personliga enheter kan nå företagets system.

Ytterligare riskfaktorer inkluderade användningen av privilegierade containerlägen, otillräcklig segmentering mellan arbetsbelastningar och osäker lagring av känsliga inloggningsuppgifter i miljövariabler. Var och en av dessa svagheter ökade intrångets explosionsradie när angriparna väl fick ett första fotfäste.

Defensiva strategier för att mildra liknande hot

Organisationer som driver molnbaserade infrastrukturer, särskilt de som hanterar finansiella tillgångar eller kryptovaluta, måste implementera skiktade defensiva kontroller som hanterar både endpoint- och molnrisker.

Effektiva begränsningsåtgärder inkluderar:

  • Implementering av kontextmedvetna åtkomstkontroller och nätfiskeresistent flerfaktorsautentisering.
  • Säkerställa att endast betrodda och verifierade containeravbildningar distribueras i molnmiljöer.
  • Isolera komprometterade noder och förhindra dem från att upprätta anslutningar med externa värdar.
  • Övervaka containermiljöer för oväntade processer eller avvikande körningsbeteende.
  • Anta robusta metoder för hantering av hemligheter för att eliminera lagring av autentiseringsuppgifter i miljövariabler.
  • Tillämpa slutpunktspolicyer som inaktiverar eller begränsar peer-to-peer-filöverföringar, till exempel AirDrop eller Bluetooth, och förhindrar montering av ohanterade externa medier på företagsenheter.

En omfattande strategi för djupgående försvar som validerar identitet, begränsar okontrollerade dataöverföringsvägar och upprätthåller strikt runtime-isolering i molnmiljöer kan avsevärt minska effekterna av liknande avancerade intrångskampanjer.

Trendigt

Mest sedda

Läser in...