Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) UNC4899 Cloud-Kompromittierungskampagne

UNC4899 Cloud-Kompromittierungskampagne

Von Mezo in Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Ein ausgeklügelter Cyberangriff im Jahr 2025 wird dem nordkoreanischen Akteur UNC4899 zugeschrieben, einer Gruppe, die im Verdacht steht, einen groß angelegten Angriff auf eine Kryptowährungsorganisation verübt zu haben, der zum Diebstahl digitaler Vermögenswerte in Millionenhöhe führte. Die Kampagne wird mit mäßiger Sicherheit diesem staatlich geförderten Akteur zugeschrieben, der auch unter verschiedenen anderen Namen wie Jade Sleet, PUKCHONG, Slow Pisces und TraderTraitor bekannt ist.

Der Vorfall zeichnet sich durch seine vielschichtige Vorgehensweise aus. Die Angreifer kombinierten Social Engineering mit der Ausnutzung von Peer-to-Peer-Datenübertragungsmechanismen zwischen Privatpersonen und Unternehmen und drangen anschließend in die Cloud-Infrastruktur des Unternehmens ein. Dort wurden legitime DevOps-Workflows missbraucht, um Zugangsdaten zu erlangen, Containergrenzen zu überwinden und Cloud-SQL-Datenbanken zu manipulieren, um den Diebstahl zu ermöglichen.

Vom persönlichen Gerät zum Unternehmensnetzwerk: Der erste Kompromiss

Der Angriff begann mit einer sorgfältig geplanten Social-Engineering-Kampagne. Ein Entwickler des angegriffenen Unternehmens wurde dazu verleitet, eine Archivdatei herunterzuladen, die als Teil eines legitimen Open-Source-Kollaborationsprojekts präsentiert wurde. Nachdem er die Datei auf sein privates Gerät heruntergeladen hatte, übertrug er sie per AirDrop auf einen Firmenarbeitsplatz und überbrückte so unbeabsichtigt die Sicherheitsgrenze zwischen privater und Unternehmensumgebung.

Die Interaktion mit dem Archiv erfolgte über eine KI-gestützte integrierte Entwicklungsumgebung (IDE). Dabei wurde im Archiv eingebetteter Schadcode in Python ausgeführt. Dieser Code führte eine als Kubernetes-Befehlszeilentool getarnte Binärdatei aus, die dadurch legitim erschien, aber gleichzeitig schädliche Aktionen durchführte.

Die Binärdatei kontaktierte anschließend eine von den Angreifern kontrollierte Domain und fungierte als Hintertür im Unternehmenssystem. Dieser Zugang ermöglichte es den Angreifern, von der kompromittierten Workstation aus in die Google Cloud-Umgebung des Unternehmens einzudringen, wobei sie wahrscheinlich aktive authentifizierte Sitzungen und zugängliche Anmeldeinformationen nutzten.

Nachdem die Angreifer in die Cloud-Infrastruktur eingedrungen waren, begannen sie mit einer Aufklärungsphase, die darauf abzielte, Dienste, Projekte und Zugangspunkte zu identifizieren, die für weitere Kompromittierungen ausgenutzt werden könnten.

Ausnutzung von Cloud-Umgebungen und Rechteausweitung

Während der Aufklärungsphase identifizierten die Angreifer einen Bastion-Host in der Cloud-Umgebung. Durch Manipulation der Multi-Faktor-Authentifizierungsrichtlinie des Hosts wurde unbefugter Zugriff erlangt. Dieser Zugriff ermöglichte weitergehende Aufklärungsaktivitäten, darunter die Navigation zu bestimmten Pods innerhalb der Kubernetes-Umgebung.

Die Angreifer wechselten daraufhin zu einer Strategie, bei der sie sich ausschließlich auf legitime Cloud-Tools und -Konfigurationen anstatt auf externe Malware stützten. Die Persistenz wurde durch die Manipulation von Kubernetes-Bereitstellungskonfigurationen erreicht, sodass ein schädlicher Bash-Befehl automatisch bei der Erstellung neuer Pods ausgeführt wurde. Dieser Befehl lud eine Hintertür herunter und installierte sie, um den dauerhaften Zugriff zu gewährleisten.

Zu den wichtigsten Aktionen, die der Angreifer während des Kompromittierungsvorgangs durchführte, gehörten:

  • Die mit der CI/CD-Plattform der Organisation verbundenen Kubernetes-Ressourcen wurden so modifiziert, dass Befehle eingefügt wurden, die Service-Account-Token in Systemprotokollen offenlegten.
  • Der Erwerb eines Tokens, der mit einem hochprivilegierten CI/CD-Dienstkonto verknüpft ist, ermöglicht die Eskalation von Berechtigungen und die laterale Bewegung hin zu einem Pod, der für Netzwerkrichtlinien und Lastausgleich zuständig ist.
  • Durch die Verwendung des gestohlenen Tokens zur Authentifizierung an einem sensiblen Infrastruktur-Pod, der im privilegierten Modus arbeitet, wird die Containerumgebung verlassen und eine dauerhafte Hintertür installiert.
  • Vor dem Angriff auf Arbeitsabläufe, die für die Verwaltung von Kundendaten zuständig sind, einschließlich Benutzeridentitäten, Kontosicherheitsdetails und Kryptowährungs-Wallet-Daten, werden zusätzliche Aufklärungsmaßnahmen durchgeführt.
  • Extrahieren statischer Datenbankzugangsdaten, die fehlerhaft in Pod-Umgebungsvariablen gespeichert wurden.
  • Mithilfe dieser Zugangsdaten über den Cloud SQL Auth Proxy wurde auf die Produktionsdatenbank zugegriffen und SQL-Befehle ausgeführt, die Benutzerkonten modifizierten, einschließlich Passwortzurücksetzungen und Aktualisierungen der Zwei-Faktor-Authentifizierungs-Seeds für mehrere wichtige Konten.

Durch diese Manipulationen konnten die Angreifer letztendlich die Kontrolle über kompromittierte Konten erlangen und erfolgreich mehrere Millionen Dollar in Kryptowährung abheben.

Sicherheitsimplikationen von Datenübertragungen zwischen verschiedenen Umgebungen

Der Vorfall verdeutlicht mehrere kritische Sicherheitslücken, die in modernen Cloud-Umgebungen häufig auftreten. Peer-to-Peer-Datenübertragungsmechanismen zwischen Privatpersonen und Unternehmen, wie beispielsweise AirDrop, können unbeabsichtigt die Sicherheitsvorkehrungen von Unternehmen umgehen und so Schadsoftware, die auf privaten Geräten eingeschleust wurde, in Unternehmenssysteme gelangen lassen.

Zu den weiteren Risikofaktoren zählten die Verwendung privilegierter Containermodi, eine unzureichende Segmentierung der Workloads und die unsichere Speicherung sensibler Zugangsdaten in Umgebungsvariablen. Jede dieser Schwachstellen vergrößerte den Wirkungsbereich des Angriffs, sobald die Angreifer einen ersten Zugang erlangt hatten.

Abwehrstrategien zur Minderung ähnlicher Bedrohungen

Organisationen, die cloudbasierte Infrastrukturen betreiben, insbesondere solche, die Finanzanlagen oder Kryptowährungen verwalten, müssen mehrschichtige Schutzmaßnahmen implementieren, die sowohl Endpunkt- als auch Cloud-Risiken abdecken.

Wirksame Minderungsmaßnahmen umfassen:

  • Implementierung kontextsensitiver Zugriffskontrollen und phishingresistenter Multi-Faktor-Authentifizierung.
  • Sicherstellen, dass in Cloud-Umgebungen nur vertrauenswürdige und verifizierte Container-Images bereitgestellt werden.
  • Kompromittierte Knoten werden isoliert und daran gehindert, Verbindungen zu externen Hosts herzustellen.
  • Überwachung von Containerumgebungen auf unerwartete Prozesse oder anomales Laufzeitverhalten.
  • Einführung robuster Verfahren zur Geheimnisverwaltung, um die Speicherung von Anmeldeinformationen in Umgebungsvariablen zu vermeiden.
  • Durchsetzung von Endpunktrichtlinien, die Peer-to-Peer-Dateiübertragungen wie AirDrop oder Bluetooth deaktivieren oder einschränken und das Einbinden nicht verwalteter externer Medien auf Unternehmensgeräten verhindern.

Eine umfassende Verteidigungsstrategie mit gestaffelter Sicherheitsarchitektur, die die Identität überprüft, unkontrollierte Datenübertragungswege einschränkt und eine strikte Laufzeitisolation in Cloud-Umgebungen durchsetzt, kann die Auswirkungen ähnlicher fortgeschrittener Angriffsversuche erheblich reduzieren.

Im Trend

Am häufigsten gesehen

Wird geladen...