Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Campagne de compromission du cloud UNC4899

Campagne de compromission du cloud UNC4899

Par Mezo en Menace persistante avancée (APT)
Se traduisent par :

Une cyberattaque sophistiquée survenue en 2025 a été attribuée au groupe de cybercriminels nord-coréen UNC4899, soupçonné d'avoir orchestré une intrusion massive dans une organisation de cryptomonnaies, entraînant le vol de millions de dollars en actifs numériques. Cette campagne a été attribuée avec un degré de certitude modéré à cet adversaire étatique, également connu sous plusieurs autres noms, dont Jade Sleet, PUKCHONG, Slow Pisces et TraderTraitor.

Cet incident se distingue par sa méthodologie complexe. Les attaquants ont combiné l'ingénierie sociale à l'exploitation des mécanismes de transfert de données peer-to-peer entre utilisateurs et entreprises, avant de s'infiltrer dans l'infrastructure cloud de l'organisation. Une fois à l'intérieur, ils ont détourné des processus DevOps légitimes pour récupérer des identifiants, s'échapper des conteneurs et manipuler les bases de données Cloud SQL afin de faciliter le vol.

Du périphérique personnel au réseau d’entreprise : le compromis initial

L'attaque a débuté par une campagne d'ingénierie sociale soigneusement orchestrée. Un développeur travaillant au sein de l'organisation ciblée a été incité à télécharger un fichier d'archive présenté comme faisant partie d'un projet collaboratif open source légitime. Après avoir téléchargé le fichier sur son appareil personnel, le développeur l'a transféré vers un poste de travail de l'entreprise via AirDrop, créant ainsi involontairement une faille de sécurité entre les environnements personnel et professionnel.

L'interaction avec l'archive s'est effectuée via un environnement de développement intégré (IDE) assisté par l'IA. Au cours de ce processus, du code Python malveillant, intégré à l'archive, a été exécuté. Ce code a déployé un binaire déguisé en outil en ligne de commande Kubernetes, lui permettant de paraître légitime tout en réalisant des opérations malveillantes.

Le programme binaire a ensuite contacté un domaine contrôlé par les attaquants et a fonctionné comme une porte dérobée au sein du système de l'entreprise. Ce point d'entrée a permis aux adversaires de se propager depuis le poste de travail compromis vers l'environnement Google Cloud de l'organisation, probablement en exploitant des sessions authentifiées actives et des identifiants accessibles.

Une fois à l'intérieur de l'infrastructure cloud, les attaquants ont entamé une phase de reconnaissance destinée à identifier les services, les projets et les points d'accès qui pourraient être exploités pour des compromissions plus poussées.

Exploitation de l’environnement cloud et élévation de privilèges

Lors de la phase de reconnaissance, les attaquants ont identifié un hôte bastion au sein de l'environnement cloud. En modifiant l'attribut de stratégie d'authentification multifacteur de cet hôte, ils ont obtenu un accès non autorisé. Cet accès leur a permis de mener des activités de reconnaissance plus approfondies, notamment la navigation vers des pods spécifiques au sein de l'environnement Kubernetes.

Les attaquants ont ensuite adopté une stratégie basée sur le cloud, s'appuyant principalement sur des outils et des configurations cloud légitimes plutôt que sur des logiciels malveillants externes. La persistance de l'attaque a été assurée par la modification des configurations de déploiement Kubernetes, de sorte qu'une commande Bash malveillante s'exécute automatiquement à chaque création de nouveaux pods. Cette commande récupérait et déployait une porte dérobée, garantissant ainsi un accès continu.

Les principales actions menées par l'acteur malveillant lors de la compromission ont été les suivantes :

  • Modification des ressources Kubernetes associées à la plateforme CI/CD de l'organisation afin d'injecter des commandes exposant les jetons de compte de service dans les journaux système.
  • Acquisition d'un jeton lié à un compte de service CI/CD hautement privilégié, permettant une élévation de privilèges et un déplacement latéral vers un pod responsable des politiques réseau et de l'équilibrage de charge.
  • Utilisation du jeton volé pour s'authentifier auprès d'un pod d'infrastructure sensible fonctionnant en mode privilégié, s'échapper de l'environnement du conteneur et installer une porte dérobée persistante.
  • Effectuer des reconnaissances supplémentaires avant de cibler une charge de travail responsable de la gestion des informations client, notamment les identités des utilisateurs, les détails de sécurité des comptes et les données des portefeuilles de cryptomonnaies.
  • Extraction des identifiants de base de données statiques qui étaient mal stockés dans les variables d'environnement du pod.
  • En utilisant ces informations d'identification via le proxy d'authentification Cloud SQL pour accéder à la base de données de production et exécuter des commandes SQL modifiant les comptes utilisateurs, notamment la réinitialisation des mots de passe et la mise à jour des clés d'authentification multifacteurs pour plusieurs comptes importants.

Ces manipulations ont finalement permis aux attaquants de contrôler des comptes compromis et de retirer avec succès plusieurs millions de dollars en cryptomonnaie.

Implications en matière de sécurité des transferts de données entre environnements

Cet incident met en lumière plusieurs failles de sécurité critiques fréquemment rencontrées dans les environnements cloud natifs modernes. Les mécanismes de transfert de données pair à pair entre utilisateurs personnels et entreprises, tels qu'AirDrop, peuvent contourner involontairement les contrôles de sécurité de l'entreprise, permettant ainsi à des logiciels malveillants installés sur des appareils personnels d'atteindre les systèmes de l'entreprise.

Parmi les autres facteurs de risque figuraient l'utilisation de modes de conteneur privilégiés, une segmentation insuffisante entre les charges de travail et le stockage non sécurisé des identifiants sensibles dans les variables d'environnement. Chacune de ces faiblesses a amplifié l'impact de l'intrusion une fois que les attaquants avaient obtenu un premier accès au système.

Stratégies défensives pour atténuer les menaces similaires

Les organisations exploitant des infrastructures basées sur le cloud, en particulier celles qui gèrent des actifs financiers ou des cryptomonnaies, doivent mettre en œuvre des contrôles défensifs à plusieurs niveaux qui prennent en compte à la fois les risques liés aux terminaux et au cloud.

Les mesures d'atténuation efficaces comprennent :

  • Mise en œuvre de contrôles d'accès contextuels et d'une authentification multifacteurs résistante au phishing.
  • Garantir que seules des images de conteneurs fiables et vérifiées soient déployées dans les environnements cloud.
  • Isoler les nœuds compromis et les empêcher d'établir des connexions avec des hôtes externes.
  • Surveillance des environnements de conteneurs pour détecter les processus inattendus ou les comportements d'exécution anormaux.
  • Adopter des pratiques robustes de gestion des secrets afin d'éliminer le stockage des identifiants dans les variables d'environnement.
  • Appliquer des politiques de points de terminaison qui désactivent ou restreignent les transferts de fichiers peer-to-peer tels qu'AirDrop ou Bluetooth et empêchent le montage de supports externes non gérés sur les appareils de l'entreprise.

Une stratégie de défense en profondeur complète, qui valide l'identité, restreint les voies de transfert de données non contrôlées et impose une isolation stricte lors de l'exécution dans les environnements cloud, peut réduire considérablement l'impact de campagnes d'intrusion avancées similaires.

Tendance

Le plus regardé

Chargement...