КНДР-поддерживаемые хакеры UNC4899 похитили миллионы через троян, переданный по AirDrop
Группа UNC4899, связанная с КНДР и известная также как Jade Sleet, осуществила целенаправленную атаку на криптовалютную компанию, используя изощренную цепочку взлома в облачной среде. Как следует из отчета Google Cloud Threat Horizons, злоумышленники применили комбинацию социальной инженерии и эксплуатации рабочих процессов для кражи цифровых активов на миллионы долларов. Особенностью инцидента стал начальный вектор атаки через механизмы передачи данных между устройствами.
Атака началась с целевой фишинговой кампании. Разработчик был обманным путем убежден загрузить вредоносный архив, замаскированный под легитимный проект с открытым исходным кодом. Критическим шагом стала передача этого файла с личного устройства Apple на корпоративную рабочую станцию с помощью функции AirDrop. Это действие создало опасный мост между личной и корпоративной сетями, который и был использован злоумышленниками.
На рабочей станции разработчик открыл архив в среде разработки с ИИ-ассистентом, что привело к выполнению зловредного кода на Python. Код развернул бинарный файл, маскирующийся под легитимный инструмент Kubernetes kubectl. Этот файл установил соединение с контролируемым хакерами доменом, создав бэкдор и обеспечив начальное присутствие во внутренней сети организации.
Получив доступ, UNC4899 переместились в облачную среду Google Cloud организации. Здесь они продемонстрировали глубокое понимание облачных технологий, злоупотребив легальными DevOps-процессами. Они похищали учетные данные, выходили за пределы контейнеров и в конечном итоге скомпрометировали базы данных Cloud SQL, используя методологию "существования за счет облака".
Эта методика позволяет злоумышленникам использовать встроенные сервисы и инструменты облака, такие как метаданные и управляемые базы данных, для скрытного перемещения и достижения целей без установки традиционного вредоносного ПО. Финальной целью была манипуляция финансовой логикой и системами транзакций для масштабного вывода криптовалюты.
Данный инцидент наглядно демонстрирует эволюцию тактик государственных хакеров, которые теперь мастерски эксплуатируют гибридные рабочие процессы и облачную инфраструктуру. Защита требует комплексного подхода, включающего строгое разделение личных и корпоративных устройств и усиленный мониторинг активности в облачных средах.
