UNC4899 クラウド侵害キャンペーン

2025年に発生した高度なサイバー侵入は、北朝鮮の脅威アクター「UNC4899」との関連性が示唆されています。このグループは、仮想通貨関連組織への大規模な侵入を企て、数百万ドル相当のデジタル資産を窃取した疑いがあります。この攻撃は、国家支援を受けたこの攻撃グループによるものと中程度の確度で推定されており、このグループはJade Sleet、PUKCHONG、Slow Pisces、TraderTraitorなど、複数の別名でも追跡されています。

このインシデントは、その多層的な手法によって際立っています。攻撃者はソーシャルエンジニアリングと個人から企業へのピアツーピアデータ転送メカニズムの悪用を組み合わせ、後に組織のクラウドインフラストラクチャに侵入しました。クラウド環境に侵入すると、正規のDevOpsワークフローが悪用され、認証情報が収集され、コンテナ境界を回避し、Cloud SQLデータベースを操作して窃盗を容易にしました。

個人デバイスから企業ネットワークへ：最初の侵入

攻撃は、綿密に練られたソーシャルエンジニアリングキャンペーンから始まりました。標的となった組織で働く開発者が、正規のオープンソース共同プロジェクトの一環として提示されたアーカイブファイルを騙されてダウンロードさせられました。開発者はファイルを個人デバイスにダウンロードした後、AirDropを使用して会社のワークステーションに転送し、意図せず個人環境と企業環境のセキュリティ境界を突破してしまいました。

アーカイブとのやり取りは、AI支援型統合開発環境（IDE）を介して行われました。このプロセス中に、アーカイブに埋め込まれた悪意のあるPythonコードが実行されました。このコードはKubernetesコマンドラインツールを装ったバイナリを展開し、正当なツールであるかのように見せかけながら悪意のある操作を実行していました。

その後、バイナリは攻撃者が管理するドメインに接続し、企業システム内でバックドアとして機能しました。この足掛かりにより、攻撃者は侵害されたワークステーションから組織のGoogle Cloud環境へと侵入することができ、アクティブな認証済みセッションとアクセス可能な認証情報を利用することが可能になったと考えられます。

クラウド インフラストラクチャに侵入すると、攻撃者は、さらなる侵害に利用できるサービス、プロジェクト、アクセス ポイントを特定するための偵察フェーズを開始しました。

クラウド環境の悪用と権限昇格

偵察段階で、攻撃者はクラウド環境内の要塞ホストを特定しました。ホストの多要素認証ポリシー属性を変更することで、不正アクセスを実現しました。このアクセスにより、Kubernetes環境内の特定のポッドへのナビゲーションを含む、より詳細な偵察活動が可能になりました。

その後、攻撃者はクラウド依存型戦略に移行し、外部マルウェアではなく、主に正規のクラウドツールと設定に依存しました。Kubernetesのデプロイメント設定を改変することで永続性を確立し、新しいポッドが作成されるたびに悪意のあるbashコマンドが自動的に実行されるようにしました。このコマンドはバックドアを取得・展開することで、継続的なアクセスを確保しました。

侵害中に脅威アクターが実行した主なアクションは次のとおりです。

• 組織の CI/CD プラットフォームに関連付けられた Kubernetes リソースを変更して、システム ログにサービス アカウント トークンを公開するコマンドを挿入します。
• 高度な権限を持つ CI/CD サービス アカウントに関連付けられたトークンを取得し、ネットワーク ポリシーと負荷分散を担当するポッドへの権限の昇格と横方向の移動を可能にします。
• 盗まれたトークンを使用して、特権モードで動作している機密インフラストラクチャ ポッドに認証し、コンテナ環境から脱出して、永続的なバックドアをインストールします。
• ユーザー ID、アカウントのセキュリティ詳細、暗号通貨ウォレット データなどの顧客情報の管理を担当するワークロードをターゲットにする前に、追加の偵察を実施します。
• ポッド環境変数内に不適切に保存された静的データベース資格情報を抽出します。
• Cloud SQL Auth Proxy を介してこれらの認証情報を活用し、本番環境のデータベースにアクセスして、複数の高価値アカウントのパスワードのリセットや多要素認証シードへの更新など、ユーザー アカウントを変更する SQL コマンドを実行します。

これらの操作により、攻撃者は最終的に侵害したアカウントを制御し、数百万ドル相当の暗号通貨を引き出すことに成功しました。

環境間データ転送のセキュリティへの影響

このインシデントは、現代のクラウドネイティブ環境によく見られるいくつかの重大なセキュリティ上の脆弱性を浮き彫りにしました。AirDropなどの個人から企業へのピアツーピアのデータ転送メカニズムは、意図せず企業のセキュリティ制御を回避し、個人デバイスに侵入したマルウェアが企業システムに到達する可能性があります。

その他のリスク要因としては、特権コンテナモードの使用、ワークロード間の不十分なセグメンテーション、環境変数における機密性の高い認証情報の安全でない保存などが挙げられます。これらの脆弱性はいずれも、攻撃者が最初の足掛かりを得た後、侵入の爆発半径を拡大させました。

同様の脅威を軽減するための防御戦略

クラウドベースのインフラストラクチャを運用する組織、特に金融資産や暗号通貨を管理する組織は、エンドポイントとクラウドの両方のリスクに対処する階層化された防御制御を実装する必要があります。

効果的な緩和策には次のようなものがあります。

• コンテキスト認識型アクセス制御とフィッシング耐性のある多要素認証を実装します。
• 信頼され検証されたコンテナ イメージのみがクラウド環境内にデプロイされるようにします。
• 侵害されたノードを隔離し、外部ホストとの接続を確立できないようにします。
• 予期しないプロセスや異常なランタイム動作がないかコンテナ環境を監視します。
• 堅牢な秘密管理プラクティスを採用して、環境変数に資格情報を保存することを排除します。
• AirDrop や Bluetooth などのピアツーピアのファイル転送を無効化または制限し、管理されていない外部メディアが企業のデバイスにマウントされるのを防ぐエンドポイント ポリシーを適用します。

ID を検証し、制御されていないデータ転送経路を制限し、クラウド環境内で厳格なランタイム分離を実施する包括的な多層防御戦略により、同様の高度な侵入キャンペーンの影響を大幅に軽減できます。