🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Suspeita-se que o ator norte-coreano conhecido como UNC4899 esteja por trás de uma sofisticada campanha de comprometimento da nuvem visando uma organização de criptomoeda em 2025 para roubar milhões de dólares em criptomoeda.
A atividade foi atribuída com confiança moderada ao adversário patrocinado pelo estado, que também é rastreado sob os criptoônimos Jade Sleet, PUKCHONG, Slow Pisces e TraderTraitor.
“Este incidente é notável por sua mistura de engenharia social, exploração de mecanismos de transferência de dados ponto a ponto (P2P) de dispositivos pessoais para corporativos, fluxos de trabalho e eventual pivô para a nuvem para empregar técnicas de vida fora da nuvem (LOTC)”, observou a gigante da tecnologia em seu relatório H1 2026 Cloud Threat Horizons [PDF] compartilhado com The Hacker News.
Ao obter acesso ao ambiente de nuvem, os invasores teriam abusado de fluxos de trabalho legítimos de DevOps para coletar credenciais, sair dos limites dos contêineres e adulterar bancos de dados Cloud SQL para facilitar o roubo de criptomoedas.
A cadeia de ataque, disse o Google Cloud, representa uma progressão do que começou com o comprometimento do dispositivo pessoal de um desenvolvedor em sua estação de trabalho corporativa, antes de saltar para a nuvem para fazer modificações não autorizadas na lógica financeira.
Tudo começou com os atores da ameaça usando manobras de engenharia social para enganar o desenvolvedor e fazê-lo baixar um arquivo como parte de uma suposta colaboração em um projeto de código aberto. O desenvolvedor então transferiu o mesmo arquivo para o dispositivo da empresa por meio do AirDrop.
“Usando seu ambiente de desenvolvimento integrado (IDE) assistido por IA, a vítima interagiu com o conteúdo do arquivo, eventualmente executando o código Python malicioso incorporado, que gerou e executou um binário disfarçado de ferramenta de linha de comando Kubernetes”, disse o Google.
O binário então contatou um domínio controlado pelo invasor e agiu como um backdoor para a máquina corporativa da vítima, dando aos invasores uma maneira de migrar para o ambiente do Google Cloud, provavelmente usando sessões autenticadas e credenciais disponíveis. A esta etapa seguiu-se uma fase inicial de reconhecimento com o objectivo de recolher informação sobre diversos serviços e projectos.
O ataque passou para a próxima fase com a descoberta de um host bastião, com o adversário modificando seu atributo de política de autenticação multifator (MFA) para acessá-lo e realizar reconhecimento adicional, incluindo a navegação para pods específicos dentro do ambiente Kubernetes.
Posteriormente, o UNC4899 adotou uma abordagem Living-off-the-cloud (LotC) para configurar mecanismos de persistência, alterando as configurações de implantação do Kubernetes para executar um comando bash automaticamente quando novos pods são criados. O comando, por sua vez, baixou um backdoor.
Algumas das outras etapas executadas pelo autor da ameaça estão listadas abaixo:
Os recursos do Kubernetes vinculados à solução da plataforma CI/CD da vítima foram modificados para injetar comandos que exibiam os tokens da conta de serviço nos logs.
O invasor obteve um token para uma conta de serviço CI/CD de alto privilégio, permitindo que ele aumentasse seus privilégios e conduzisse movimentos laterais, visando especificamente um pod que lidava com políticas de rede e balanceamento de carga.
O token da conta de serviço roubado foi usado para autenticar o pod de infraestrutura confidencial em execução em modo privilegiado, escapar do contêiner e implantar um backdoor para acesso persistente.
Outra rodada de reconhecimento foi conduzida pelo agente da ameaça antes de voltar sua atenção para uma carga de trabalho responsável pelo gerenciamento de informações do cliente, como identidades de usuários, segurança de contas e informações de carteiras de criptomoedas.
O invasor o usou para extrair credenciais de banco de dados estáticas que foram armazenadas de forma insegura nas variáveis de ambiente do pod.
As credenciais foram então usadas de forma abusiva para acessar o banco de dados de produção por meio do Cloud SQL Auth Proxy e executar comandos SQL para fazer modificações na conta do usuário. Isso incluiu redefinições de senha e atualizações iniciais de MFA para várias contas de alto valor.
O ataque culminou com a utilização das contas comprometidas para retirar com sucesso vários milhões de dólares em ativos digitais.
O incidente “destaca os riscos críticos representados pelos métodos de transferência de dados P2P pessoal para corporativo e outras pontes de dados, modos de contêiner privilegiados e o tratamento inseguro de segredos em um ambiente de nuvem”, disse o Google. “As organizações devem adotar uma estratégia de defesa profunda que valide rigorosamente a identidade, restrinja a transferência de dados em endpoints e imponha isolamento rigoroso em ambientes de tempo de execução em nuvem para limitar o raio de explosão de um evento de intrusão”.
Para combater a ameaça, as organizações são aconselhadas a implementar acesso baseado no contexto e MFA resistente a phishing, garantir que apenas imagens confiáveis sejam implantadas, isolar nós comprometidos do estabelecimento de conexões
A atividade foi atribuída com confiança moderada ao adversário patrocinado pelo estado, que também é rastreado sob os criptoônimos Jade Sleet, PUKCHONG, Slow Pisces e TraderTraitor.
“Este incidente é notável por sua mistura de engenharia social, exploração de mecanismos de transferência de dados ponto a ponto (P2P) de dispositivos pessoais para corporativos, fluxos de trabalho e eventual pivô para a nuvem para empregar técnicas de vida fora da nuvem (LOTC)”, observou a gigante da tecnologia em seu relatório H1 2026 Cloud Threat Horizons [PDF] compartilhado com The Hacker News.
Ao obter acesso ao ambiente de nuvem, os invasores teriam abusado de fluxos de trabalho legítimos de DevOps para coletar credenciais, sair dos limites dos contêineres e adulterar bancos de dados Cloud SQL para facilitar o roubo de criptomoedas.
A cadeia de ataque, disse o Google Cloud, representa uma progressão do que começou com o comprometimento do dispositivo pessoal de um desenvolvedor em sua estação de trabalho corporativa, antes de saltar para a nuvem para fazer modificações não autorizadas na lógica financeira.
Tudo começou com os atores da ameaça usando manobras de engenharia social para enganar o desenvolvedor e fazê-lo baixar um arquivo como parte de uma suposta colaboração em um projeto de código aberto. O desenvolvedor então transferiu o mesmo arquivo para o dispositivo da empresa por meio do AirDrop.
“Usando seu ambiente de desenvolvimento integrado (IDE) assistido por IA, a vítima interagiu com o conteúdo do arquivo, eventualmente executando o código Python malicioso incorporado, que gerou e executou um binário disfarçado de ferramenta de linha de comando Kubernetes”, disse o Google.
O binário então contatou um domínio controlado pelo invasor e agiu como um backdoor para a máquina corporativa da vítima, dando aos invasores uma maneira de migrar para o ambiente do Google Cloud, provavelmente usando sessões autenticadas e credenciais disponíveis. A esta etapa seguiu-se uma fase inicial de reconhecimento com o objectivo de recolher informação sobre diversos serviços e projectos.
O ataque passou para a próxima fase com a descoberta de um host bastião, com o adversário modificando seu atributo de política de autenticação multifator (MFA) para acessá-lo e realizar reconhecimento adicional, incluindo a navegação para pods específicos dentro do ambiente Kubernetes.
Posteriormente, o UNC4899 adotou uma abordagem Living-off-the-cloud (LotC) para configurar mecanismos de persistência, alterando as configurações de implantação do Kubernetes para executar um comando bash automaticamente quando novos pods são criados. O comando, por sua vez, baixou um backdoor.
Algumas das outras etapas executadas pelo autor da ameaça estão listadas abaixo:
Os recursos do Kubernetes vinculados à solução da plataforma CI/CD da vítima foram modificados para injetar comandos que exibiam os tokens da conta de serviço nos logs.
O invasor obteve um token para uma conta de serviço CI/CD de alto privilégio, permitindo que ele aumentasse seus privilégios e conduzisse movimentos laterais, visando especificamente um pod que lidava com políticas de rede e balanceamento de carga.
O token da conta de serviço roubado foi usado para autenticar o pod de infraestrutura confidencial em execução em modo privilegiado, escapar do contêiner e implantar um backdoor para acesso persistente.
Outra rodada de reconhecimento foi conduzida pelo agente da ameaça antes de voltar sua atenção para uma carga de trabalho responsável pelo gerenciamento de informações do cliente, como identidades de usuários, segurança de contas e informações de carteiras de criptomoedas.
O invasor o usou para extrair credenciais de banco de dados estáticas que foram armazenadas de forma insegura nas variáveis de ambiente do pod.
As credenciais foram então usadas de forma abusiva para acessar o banco de dados de produção por meio do Cloud SQL Auth Proxy e executar comandos SQL para fazer modificações na conta do usuário. Isso incluiu redefinições de senha e atualizações iniciais de MFA para várias contas de alto valor.
O ataque culminou com a utilização das contas comprometidas para retirar com sucesso vários milhões de dólares em ativos digitais.
O incidente “destaca os riscos críticos representados pelos métodos de transferência de dados P2P pessoal para corporativo e outras pontes de dados, modos de contêiner privilegiados e o tratamento inseguro de segredos em um ambiente de nuvem”, disse o Google. “As organizações devem adotar uma estratégia de defesa profunda que valide rigorosamente a identidade, restrinja a transferência de dados em endpoints e imponha isolamento rigoroso em ambientes de tempo de execução em nuvem para limitar o raio de explosão de um evento de intrusão”.
Para combater a ameaça, as organizações são aconselhadas a implementar acesso baseado no contexto e MFA resistente a phishing, garantir que apenas imagens confiáveis sejam implantadas, isolar nós comprometidos do estabelecimento de conexões
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #unc4899 #violou #empresa #de #criptografia #após #desenvolvedor #airdropped #arquivo #trojanizado #para #dispositivo #de #trabalho
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário