Hackers explotan Kubernetes y SQL en la nube en sofisticados robos de criptomonedas

 Cristian Borghello (@SeguInfo) / Posts / X

Una intrusión cibernética atribuida a un grupo de amenaza norcoreano sospechoso revela cómo los atacantes pueden pasar del dispositivo personal de un desarrollador a la infraestructura en la nube corporativa, explotando flujos de trabajo DevOps para robar millones en criptomonedas.

Una brecha que comenzó en un dispositivo personal

Un ciberataque sofisticado dirigido a una organización de criptomonedas parece haber comenzado con un paso aparentemente sencillo: un desarrollador descargando lo que parecía ser un archivo legítimo.

Según investigadores de seguridad de Google Cloud, la intrusión comenzó cuando atacantes usaron tácticas de ingeniería social para persuadir al desarrollador a descargar un archivo de archivo bajo el pretexto de colaborar en un proyecto de código abierto. El archivo se abría inicialmente en el dispositivo personal del desarrollador antes de transferirse a la estación de trabajo corporativa de la empresa mediante AirDrop.

Una vez dentro del entorno corporativo, el expediente reveló su verdadero propósito. Cuando el desarrollador interactuaba con el archivo a través de un entorno integrado de desarrollo asistido por inteligencia artificial, se ejecutaba código malicioso en Python incrustado. El código instalaba un binario disfrazado de herramienta de línea de comandos de Kubernetes, permitiendo a los atacantes establecer una base dentro del sistema.

El binario malicioso se conectaba a un dominio controlado por el atacante y funcionaba como una puerta trasera, permitiendo el acceso remoto a la máquina del desarrollador y permitiendo a los atacantes comenzar el reconocimiento de la infraestructura en la nube de la empresa.

Pasar de la estación de trabajo a la infraestructura en la nube

Desde ese punto de entrada, los atacantes se orientaron hacia el entorno Google Cloud de la organización. Utilizando sesiones autenticadas y credenciales disponibles, los actores amenazadores comenzaron a recopilar información sobre los servicios en la nube de la empresa y sus proyectos internos. Su reconocimiento les llevó finalmente a un anfitrión bastión —un servidor seguro que normalmente se utiliza para gestionar el acceso a sistemas protegidos.

Los investigadores descubrieron que los atacantes modificaron la política de autenticación multifactor del host bastión para obtener acceso y continuar explorando el entorno. Este acceso les permitió navegar entre los pods Kubernetes que se ejecutan dentro de la infraestructura en la nube de la empresa.

Los analistas de seguridad describieron la operación como una progresión cuidadosamente planificada, comenzando con una estación de trabajo comprometida y expandiéndose al entorno cloud más amplio.

Explotación de flujos de trabajo DevOps y Kubernetes

Tras obtener un acceso más profundo, los atacantes comenzaron a manipular elementos de la infraestructura DevOps de la organización.

Según el análisis de Google Cloud, el grupo de amenazas modificó las configuraciones de despliegue de Kubernetes para asegurar la persistencia dentro del sistema. Las configuraciones modificadas hacían que un comando bash se ejecutara automáticamente cada vez que se creaban nuevos pods. Ese comando descargaba software adicional de puerta trasera, permitiendo el control continuo del entorno.

Los atacantes también atacaron la plataforma de integración continua y despliegue continuo de la organización. Al modificar los recursos de Kubernetes vinculados al entorno CI/CD, pudieron inyectar comandos que exponían los tokens de cuentas de servicio en los registros del sistema.

Con estos tokens en mano, los atacantes obtuvieron acceso a una cuenta de servicio CI/CD de alto privilegio. Ese acceso les permitió escalar privilegios y moverse lateralmente por la infraestructura, incluyendo llegar a un pod responsable de gestionar las políticas de red y el balanceo de carga.

En otra fase del ataque, las credenciales de la cuenta de servicio robadas se utilizaron para autenticarse en un pod de infraestructura sensible que operaba en modo privilegiado. Esto permitía a los atacantes romper las restricciones del contenedor y desplegar otra puerta trasera para mantener el acceso persistente.

Manipulación de bases de datos y robo de criptomonedas

A medida que avanzaba el ataque, los intrusos se centraron en sistemas que gestionaban información de clientes y datos financieros.

Según Google Cloud, los atacantes pudieron extraer credenciales de base de datos que se almacenaban de forma insegura dentro de variables de entorno dentro de un pod Kubernetes. Esas credenciales se usaban entonces para conectarse a la base de datos de producción a través del Proxy de autenticación SQL en la nube.

Una vez dentro de la base de datos, los atacantes ejecutaban comandos SQL que modificaban la configuración de la cuenta de usuario. Las modificaciones incluyeron restablecimiento de contraseñas y actualizaciones de valores semilla de autenticación multifactor asociados a varias cuentas de alto valor.

Con el control de esas cuentas, los atacantes finalmente retiraron activos digitales por valor de varios millones de dólares. Investigadores de seguridad atribuyeron la actividad con moderada confianza a un grupo de amenaza norcoreano conocido como UNC4899, que también ha sido rastreado bajo varios otros nombres, incluyendo Jade Sleet, PUKCHONG, Piscis Lento y TraderTraidor.

Una cadena de ataque compleja

Google Cloud afirmó que la operación ilustra una cadena de ataque compleja que combina ingeniería social con técnicas de explotación específicas de la nube. La campaña se basó en transferencias de dispositivos personales a corporativos, la obtención de credenciales en la nube, tácticas de escape de contenedores y la manipulación de flujos de trabajo DevOps para obtener un acceso profundo al entorno de la víctima.

Los investigadores describieron la intrusión como una operación de "vivir de la nube", en la que los atacantes aprovechan herramientas y características de infraestructura legítimas para mantener la persistencia y evadir la detección.

La empresa señaló que estos ataques ponen de manifiesto los riesgos que supone la transferencia de datos entre dispositivos personales y corporativos, entornos de contenedores privilegiados y el almacenamiento inseguro de secretos en despliegues en la nube.

Para reducir el impacto de incidentes similares, Google Cloud recomendó que las organizaciones adoptaran estrategias de seguridad en capas, incluyendo una validación estricta de identidad, autenticación multifactor resistente al phishing, monitorización de la actividad de contenedores y una gestión más sólida de credenciales sensibles en entornos cloud.

Fuente: The420 

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?     ...
Leer más

Vulnerabilidad de 0 días SMB del kernel de Linux descubierta con ChatGPT

Imagen
Se descubrió una vulnerabilidad de día cero en el kernel de Linux, utilizando el modelo o3 de OpenAI. Este hallazgo, asignado a CVE-2025-37899, marca un avance significativo en la investigación de vulnerabilidades asistidas por IA. La vulnerabilidad, confirmada oficialmente el 20 de mayo de 2025, afecta al componente ksmbd del kernel de Linux, un servidor en el kernel que implementa el protocolo SMB3 para compartir archivos a través de redes.  En concreto, se identificó una   vulnerabilidad use-after-free   en el controlador del comando 'logoff' de SMB que podría dar lugar a graves violaciones de seguridad. "Encontré la vulnerabilidad con nada más complicado que la API de o3: sin andamios, sin marcos agenticos, sin uso de herramientas", dijo Sean, quien descubrió la falla. "Esta es, hasta donde yo sé, la primera discusión pública de una vulnerabilidad de esa naturaleza encontrada por un gran modelo de lenguaje", dijo Sean. Los detalles técnicos revelan que c...
Leer más

Análisis de amenazas más relevantes observadas durante 2024 [Google]

Imagen
El informe   M-Trends 2025 de Mandiant   (parte de Google Cloud) ofrece un análisis detallado de las amenazas cibernéticas más relevantes observadas durante 2024. Basado en más de 450.000 horas de investigaciones de respuesta a incidentes, el informe identifica las tácticas y tendencias empleadas por actores maliciosos a nivel global. Principales hallazgos Aumento en el uso de malware tipo infostealer:   los atacantes utilizan cada vez más malware diseñado para robar credenciales, facilitando accesos no autorizados a sistemas corporativos. Repositorios de datos sin asegurar:  la falta de higiene básica en seguridad ha llevado a que los atacantes apunten a repositorios de datos mal configurados, exponiendo información sensible. Compromisos en entornos de nube:  las migraciones a la nube, si no se gestionan adecuadamente, introducen brechas y riesgos que los atacantes están explotando activamente. Métricas destacadas Tiempo medio de permanencia:   El tiempo g...
Leer más