Tác nhân đe dọa từ Triều Tiên, được biết đến với tên UNC4899, bị nghi ngờ đứng sau một chiến dịch tấn công đám mây tinh vi nhằm vào một tổ chức tiền điện tử vào năm 2025 để đánh cắp hàng triệu USD tiền điện tử.
Hoạt động này được quy cho đối thủ được nhà nước bảo trợ với mức độ tin cậy vừa phải, nhóm này cũng được theo dõi dưới các biệt danh Jade Sleet, PUKCHONG, Slow Pisces, và TraderTraitor.
"Sự cố này đáng chú ý vì sự kết hợp giữa kỹ thuật social engineering, khai thác các cơ chế chuyển dữ liệu peer-to-peer (P2P) từ thiết bị cá nhân sang thiết bị công ty, các quy trình làm việc, và cuối cùng là chuyển sang đám mây để sử dụng các kỹ thuật living-off-the-cloud (LOTC)," gã khổng lồ công nghệ đã lưu ý trong Báo cáo H1 2026 Cloud Threat Horizons Report [PDF] được chia sẻ với The Hacker News.
Sau khi truy cập vào môi trường đám mây, các kẻ tấn công được cho là đã lạm dụng các quy trình làm việc DevOps hợp pháp để thu thập thông tin xác thực (credentials), thoát khỏi giới hạn của containers và giả mạo cơ sở dữ liệu Cloud SQL để tạo điều kiện cho việc trộm cắp tiền điện tử.
Google Cloud cho biết, chuỗi tấn công này thể hiện một sự phát triển từ việc thiết bị cá nhân của một nhà phát triển bị xâm nhập, chuyển sang máy trạm của công ty họ, trước khi nhảy vào đám mây để thực hiện các sửa đổi trái phép đối với logic tài chính.
Mọi chuyện bắt đầu khi các tác nhân đe dọa sử dụng các thủ đoạn social engineering để lừa nhà phát triển tải xuống một tệp lưu trữ như một phần của dự án mã nguồn mở được cho là cộng tác. Nhà phát triển sau đó đã chuyển cùng tệp này sang thiết bị công ty của họ qua AirDrop.
Google cho biết: "Sử dụng Integrated Development Environment (IDE) được hỗ trợ bởi AI, nạn nhân sau đó đã tương tác với nội dung của tệp lưu trữ, cuối cùng thực thi mã Python độc hại được nhúng, tạo ra và thực thi một binary giả mạo công cụ dòng lệnh Kubernetes."
Binary sau đó đã liên hệ với một miền do kẻ tấn công kiểm soát và hoạt động như một backdoor vào máy tính công ty của nạn nhân, tạo cho kẻ tấn công một con đường để chuyển sang môi trường Google Cloud bằng cách có thể sử dụng các phiên đã xác thực và thông tin xác thực (credentials) có sẵn. Bước này tiếp theo là giai đoạn reconnaissance ban đầu nhằm thu thập thông tin về các dịch vụ và dự án khác nhau.
Cuộc tấn công chuyển sang giai đoạn tiếp theo với việc phát hiện ra một bastion host, với việc kẻ tấn công sửa đổi thuộc tính chính sách multi-factor authentication (MFA) của nó để truy cập và thực hiện reconnaissance bổ sung, bao gồm điều hướng đến các pods cụ thể trong môi trường Kubernetes.
Sau đó, UNC4899 đã áp dụng phương pháp living-off-the-cloud (LotC) để cấu hình các cơ chế persistence bằng cách thay đổi cấu hình triển khai Kubernetes để tự động thực thi một lệnh bash khi các pods mới được tạo. Lệnh này, về phần mình, đã tải xuống một backdoor.
Các Bước Tấn Công Chi Tiết Khác
- Tài nguyên Kubernetes liên quan đến giải pháp nền tảng CI/CD của nạn nhân đã bị sửa đổi để chèn các lệnh hiển thị các service account tokens lên các logs.
- Kẻ tấn công đã lấy được một token cho service account CI/CD có đặc quyền cao, cho phép chúng leo thang đặc quyền và thực hiện lateral movement, nhắm mục tiêu cụ thể vào một pod xử lý network policies và load balancing.
- Token service account bị đánh cắp đã được sử dụng để xác thực vào pod cơ sở hạ tầng nhạy cảm đang chạy ở chế độ privileged, thoát khỏi container và triển khai một backdoor để truy cập persistent.
- Một vòng reconnaissance khác đã được tác nhân đe dọa thực hiện trước khi chuyển sự chú ý sang một workload chịu trách nhiệm quản lý thông tin khách hàng, chẳng hạn như user identities, account security và thông tin ví tiền điện tử.
- Kẻ tấn công đã sử dụng nó để trích xuất các database credentials tĩnh được lưu trữ không an toàn trong các environment variables của pod.
- Các credentials sau đó đã bị lạm dụng để truy cập cơ sở dữ liệu sản xuất thông qua Cloud SQL Auth Proxy và thực thi các lệnh SQL để thực hiện sửa đổi tài khoản người dùng. Điều này bao gồm đặt lại mật khẩu và cập nhật MFA seed cho một số tài khoản có giá trị cao.
- Cuộc tấn công kết thúc bằng việc sử dụng các tài khoản bị xâm nhập để rút thành công vài triệu USD tài sản kỹ thuật số.
Google cho biết: "Sự cố này làm nổi bật những rủi ro nghiêm trọng do các phương pháp chuyển dữ liệu P2P từ cá nhân sang công ty và các cầu nối dữ liệu khác, chế độ container privileged, và việc xử lý secrets không an toàn trong môi trường đám mây." "Các tổ chức nên áp dụng chiến lược defense-in-depth nhằm xác thực chặt chẽ identity, hạn chế chuyển dữ liệu trên các endpoints và thực thi cách ly nghiêm ngặt trong các môi trường cloud runtime để hạn chế phạm vi ảnh hưởng của một sự kiện xâm nhập."
Để đối phó với mối đe dọa này, các tổ chức được khuyến nghị triển khai truy cập context-aware và MFA chống phishing, đảm bảo chỉ các trusted images được triển khai, cô lập các compromised nodes khỏi việc thiết lập kết nối với các external hosts, giám sát các container processes bất thường, áp dụng secrets management mạnh mẽ, thực thi các chính sách để vô hiệu hóa hoặc hạn chế chia sẻ tệp peer-to-peer bằng AirDrop hoặc Bluetooth và gắn các external media không được quản lý trên các thiết bị của công ty.
