Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch tấn công mạng tinh vi được cho là do nhóm tin tặc có liên hệ với Triều Tiên thực hiện đã xâm nhập thành công vào hệ thống của một tổ chức tiền điện tử trong năm 2025, dẫn đến việc đánh cắp hàng triệu USD tài sản kỹ thuật số. Nhóm tấn công được các chuyên gia an ninh mạng theo dõi dưới tên UNC4899, còn được biết đến với các bí danh như Jade Sleet, PUKCHONG, Slow Pisces và TraderTraitor.
Theo báo cáo Triển vọng Mối đe dọa trên đám mây nửa đầu năm 2026 do Google Cloud công bố, cuộc tấn công nổi bật bởi sự kết hợp giữa kỹ thuật xã hội, khai thác cơ chế truyền dữ liệu ngang hàng (P2P) giữa thiết bị cá nhân và thiết bị doanh nghiệp, cùng với việc lợi dụng các quy trình DevOps hợp pháp để mở rộng quyền truy cập trong môi trường đám mây.
Cuộc tấn công bắt đầu khi kẻ tấn công sử dụng thủ đoạn kỹ thuật xã hội để lừa một nhà phát triển phần mềm tải xuống một tệp lưu trữ được ngụy trang như một dự án hợp tác mã nguồn mở. Sau khi tải về, nhà phát triển đã chuyển tệp này từ thiết bị cá nhân sang máy tính làm việc của công ty thông qua tính năng AirDrop.
Khi mở tệp trong môi trường phát triển tích hợp (IDE) có hỗ trợ trí tuệ nhân tạo, nạn nhân đã vô tình thực thi một đoạn mã Python độc hại được nhúng sẵn trong tệp. Đoạn mã này tạo và chạy một tệp nhị phân giả mạo công cụ dòng lệnh Kubernetes. Tệp nhị phân sau đó kết nối tới một miền do kẻ tấn công kiểm soát và hoạt động như một cửa hậu, cho phép truy cập từ xa vào máy tính của nạn nhân.
Từ máy trạm của nhà phát triển, kẻ tấn công tiếp tục mở rộng xâm nhập vào môi trường Google Cloud của tổ chức bằng cách tận dụng các phiên đăng nhập và thông tin xác thực sẵn có. Sau khi xâm nhập thành công, chúng tiến hành trinh sát hệ thống để thu thập thông tin về các dự án, dịch vụ và tài nguyên đám mây.
Ở giai đoạn tiếp theo, kẻ tấn công phát hiện một máy chủ bastion và thay đổi các thiết lập liên quan đến chính sách xác thực đa yếu tố (MFA) nhằm duy trì quyền truy cập. Sau đó, chúng tiếp tục điều hướng sang các pod trong môi trường Kubernetes để tiến hành các hoạt động xâm nhập sâu hơn.
Để duy trì quyền truy cập lâu dài, nhóm tấn công đã áp dụng phương pháp “sống ngoài đám mây” (Living off the Cloud - LotC) bằng cách sửa đổi cấu hình triển khai Kubernetes. Thay đổi này khiến mỗi khi các pod mới được khởi tạo, một lệnh bash sẽ tự động được thực thi để tải xuống và chạy phần mềm độc hại.
Ngoài ra, các tài nguyên Kubernetes liên kết với hệ thống CI/CD của nạn nhân cũng bị sửa đổi nhằm chèn các lệnh hiển thị mã thông báo tài khoản dịch vụ vào nhật ký hệ thống. Nhờ đó, kẻ tấn công thu thập được mã thông báo của một tài khoản dịch vụ có đặc quyền cao, từ đó leo thang quyền truy cập và di chuyển ngang trong hệ thống.
Với quyền truy cập mới, chúng nhắm mục tiêu vào một pod hạ tầng nhạy cảm đang chạy ở chế độ đặc quyền, cho phép thoát khỏi container và triển khai cửa hậu để duy trì truy cập lâu dài. Sau một vòng trinh sát bổ sung, kẻ tấn công chuyển mục tiêu sang hệ thống quản lý thông tin khách hàng, bao gồm dữ liệu định danh, bảo mật tài khoản và thông tin ví tiền điện tử.
Tại đây, chúng phát hiện thông tin đăng nhập cơ sở dữ liệu được lưu trữ không an toàn trong các biến môi trường của pod. Những thông tin này sau đó được sử dụng để truy cập cơ sở dữ liệu sản xuất thông qua Cloud SQL Auth Proxy và thực thi các lệnh SQL nhằm sửa đổi dữ liệu tài khoản người dùng, bao gồm đặt lại mật khẩu và cập nhật mã xác thực đa yếu tố của một số tài khoản có giá trị cao.
Cuộc tấn công kết thúc khi kẻ tấn công sử dụng các tài khoản đã bị chiếm quyền để rút thành công hàng triệu USD tiền điện tử.
Các chuyên gia của Google cảnh báo rằng sự cố này cho thấy những rủi ro nghiêm trọng liên quan đến việc truyền dữ liệu ngang hàng giữa thiết bị cá nhân và thiết bị doanh nghiệp, việc sử dụng container ở chế độ đặc quyền, cũng như cách thức quản lý bí mật không an toàn trong môi trường đám mây.
Để giảm thiểu nguy cơ, các tổ chức được khuyến nghị triển khai xác thực đa yếu tố chống lừa đảo, giám sát chặt chẽ các tiến trình container, áp dụng các hệ thống quản lý bí mật chuyên dụng và hạn chế hoặc vô hiệu hóa các phương thức chia sẻ tệp ngang hàng như AirDrop hoặc Bluetooth trên thiết bị doanh nghiệp.(thehackernews)
Theo báo cáo Triển vọng Mối đe dọa trên đám mây nửa đầu năm 2026 do Google Cloud công bố, cuộc tấn công nổi bật bởi sự kết hợp giữa kỹ thuật xã hội, khai thác cơ chế truyền dữ liệu ngang hàng (P2P) giữa thiết bị cá nhân và thiết bị doanh nghiệp, cùng với việc lợi dụng các quy trình DevOps hợp pháp để mở rộng quyền truy cập trong môi trường đám mây.
Cuộc tấn công bắt đầu khi kẻ tấn công sử dụng thủ đoạn kỹ thuật xã hội để lừa một nhà phát triển phần mềm tải xuống một tệp lưu trữ được ngụy trang như một dự án hợp tác mã nguồn mở. Sau khi tải về, nhà phát triển đã chuyển tệp này từ thiết bị cá nhân sang máy tính làm việc của công ty thông qua tính năng AirDrop.
Khi mở tệp trong môi trường phát triển tích hợp (IDE) có hỗ trợ trí tuệ nhân tạo, nạn nhân đã vô tình thực thi một đoạn mã Python độc hại được nhúng sẵn trong tệp. Đoạn mã này tạo và chạy một tệp nhị phân giả mạo công cụ dòng lệnh Kubernetes. Tệp nhị phân sau đó kết nối tới một miền do kẻ tấn công kiểm soát và hoạt động như một cửa hậu, cho phép truy cập từ xa vào máy tính của nạn nhân.
Từ máy trạm của nhà phát triển, kẻ tấn công tiếp tục mở rộng xâm nhập vào môi trường Google Cloud của tổ chức bằng cách tận dụng các phiên đăng nhập và thông tin xác thực sẵn có. Sau khi xâm nhập thành công, chúng tiến hành trinh sát hệ thống để thu thập thông tin về các dự án, dịch vụ và tài nguyên đám mây.
Ở giai đoạn tiếp theo, kẻ tấn công phát hiện một máy chủ bastion và thay đổi các thiết lập liên quan đến chính sách xác thực đa yếu tố (MFA) nhằm duy trì quyền truy cập. Sau đó, chúng tiếp tục điều hướng sang các pod trong môi trường Kubernetes để tiến hành các hoạt động xâm nhập sâu hơn.
Để duy trì quyền truy cập lâu dài, nhóm tấn công đã áp dụng phương pháp “sống ngoài đám mây” (Living off the Cloud - LotC) bằng cách sửa đổi cấu hình triển khai Kubernetes. Thay đổi này khiến mỗi khi các pod mới được khởi tạo, một lệnh bash sẽ tự động được thực thi để tải xuống và chạy phần mềm độc hại.
Ngoài ra, các tài nguyên Kubernetes liên kết với hệ thống CI/CD của nạn nhân cũng bị sửa đổi nhằm chèn các lệnh hiển thị mã thông báo tài khoản dịch vụ vào nhật ký hệ thống. Nhờ đó, kẻ tấn công thu thập được mã thông báo của một tài khoản dịch vụ có đặc quyền cao, từ đó leo thang quyền truy cập và di chuyển ngang trong hệ thống.
Với quyền truy cập mới, chúng nhắm mục tiêu vào một pod hạ tầng nhạy cảm đang chạy ở chế độ đặc quyền, cho phép thoát khỏi container và triển khai cửa hậu để duy trì truy cập lâu dài. Sau một vòng trinh sát bổ sung, kẻ tấn công chuyển mục tiêu sang hệ thống quản lý thông tin khách hàng, bao gồm dữ liệu định danh, bảo mật tài khoản và thông tin ví tiền điện tử.
Tại đây, chúng phát hiện thông tin đăng nhập cơ sở dữ liệu được lưu trữ không an toàn trong các biến môi trường của pod. Những thông tin này sau đó được sử dụng để truy cập cơ sở dữ liệu sản xuất thông qua Cloud SQL Auth Proxy và thực thi các lệnh SQL nhằm sửa đổi dữ liệu tài khoản người dùng, bao gồm đặt lại mật khẩu và cập nhật mã xác thực đa yếu tố của một số tài khoản có giá trị cao.
Cuộc tấn công kết thúc khi kẻ tấn công sử dụng các tài khoản đã bị chiếm quyền để rút thành công hàng triệu USD tiền điện tử.
Các chuyên gia của Google cảnh báo rằng sự cố này cho thấy những rủi ro nghiêm trọng liên quan đến việc truyền dữ liệu ngang hàng giữa thiết bị cá nhân và thiết bị doanh nghiệp, việc sử dụng container ở chế độ đặc quyền, cũng như cách thức quản lý bí mật không an toàn trong môi trường đám mây.
Để giảm thiểu nguy cơ, các tổ chức được khuyến nghị triển khai xác thực đa yếu tố chống lừa đảo, giám sát chặt chẽ các tiến trình container, áp dụng các hệ thống quản lý bí mật chuyên dụng và hạn chế hoặc vô hiệu hóa các phương thức chia sẻ tệp ngang hàng như AirDrop hoặc Bluetooth trên thiết bị doanh nghiệp.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
