北朝鮮の脅威アクターUNC4899が暗号通貨企業を標的としたクラウド侵害キャンペーンを実施
北朝鮮の脅威アクターUNC4899は、2025年に暗号通貨組織を標的とした高度なクラウド侵害キャンペーンを実施し、数百万ドル相当の暗号通貨を窃取したと疑われています。この活動は、国家支援の敵対勢力であるUNC4899が、Jade Sleet、PUKCHONG、Slow Pisces、TraderTraitorなどの暗号名で追跡されていることから、中程度の確信を持って帰属されています。
社会工学とP2Pデータ転送メカニズムの組み合わせ
このインシデントは、社会工学、個人から企業へのペアツーペアデータ転送メカニズム、ワークフロー、そしてクラウドへの移行と「クラウド上で生きる」(LOTC)技術の使用という組み合わせが特徴的です。
開発者の個人デバイスの侵害から始まる
攻撃は、開発者の個人デバイスの侵害から始まり、その後、企業ワークステーションに移行し、最終的にクラウドに移行して、財務ロジックを操作するための不正な変更を加えました。
社会工学的手法の使用
脅威アクターは、開発者をオープンソースプロジェクトのコラボレーションの一環としてアーカイブファイルをダウンロードするようにだます社会工学的手法を使用しました。開発者はその後、そのファイルをAirDropを使用して会社のデバイスに転送しました。
悪意のあるPythonコードの実行
開発者は、AIを支援する統合開発環境(IDE)を使用して、アーカイブの内容と対話し、最終的に悪意のあるPythonコードを実行しました。このコードは、Kubernetesコマンドラインツールとして偽装されたバイナリを生成し、実行しました。
クラウド環境へのアクセス
このバイナリは、攻撃者が制御するドメインに接続し、被害者の企業マシンへのバックドアとして機能しました。これにより、攻撃者は認証セッションと利用可能な資格情報を使用してクラウド環境に移行することができました。
初期の情報収集フェーズ
攻撃は、さまざまなサービスとプロジェクトに関する情報を収集する初期の情報収集フェーズに移行しました。
bastionホストの発見
攻撃者はbastionホストを発見し、マルチファクタ認証(MFA)ポリシー属性を変更してアクセスし、さらなる情報収集を実施しました。
living-off-the-cloud(LOTC)アプローチの採用
UNC4899は、新しいポッドが作成されたときに自動的にバッシュコマンドを実行するようにKubernetesデプロイメント構成を変更することで、living-off-the-cloud(LOTC)アプローチを採用しました。
高度なアクセス権の取得
脅威アクターは、CI/CDプラットフォームソリューションに結びついたKubernetesリソースを変更し、サービスアカウントトークンを表示するコマンドを挿入しました。
暗号通貨の盗難
攻撃者は、ユーザーのアカウント情報を管理するワークロードから静的なデータベース資格情報を抽出し、生産データベースにアクセスしてSQLコマンドを実行してユーザーのアカウントを変更しました。
数百万ドルの暗号通貨の盗難
攻撃は、侵害されたアカウントを使用して、数百万ドル相当のデジタル資産を引き出すことに成功しました。
組織への対策
このインシデントは、個人から企業へのペアツーペアデータ転送方法、特権コンテナモード、およびクラウド環境でのシークレットの不適切な取り扱いがもたらす深刻なリスクを強調しています。
防御策の推奨
- コンテキスト認識アクセスとフィッシング耐性MFAの実装
- 信頼できるイメージのみのデプロイ
- 侵害されたノードが外部ホストと接続を確立することを防ぐ
- 予期しないコンテナプロセスの監視
- 強力なシークレット管理の採用
- AirDropやBluetoothを使用したピアツーピアファイル共有の制限や禁止
}<|im_start|> modneğiği: JSON スキーマに従って修正します。以下が適切な形式の JSON です。注意:JSON スキーマに従って、不要な部分を削除し、必要な情報を含めました。また、HTML タグを使用して記事を構造化しました。{
元記事: https://thehackernews.com/2026/03/unc4899-used-airdrop-file-transfer-and.html