最初のホストを突破した後、エージェントはクラウドクレデンシャル、APIキー、その他の機密情報を収集しました 。そして、MySQLとAlibaba Nacosが稼働する本番環境へと侵入。窃取したクレデンシャルとNacosへのアクセス権限を利用し、ネットワークのより深い場所へと移動しました
。さらに、LangflowのPostgresデータベースをダンプし、内部サービスをスキャン、デフォルトのクレデンシャルを使ってMinIOオブジェクトストアを列挙し、cronベースのビーコンで永続化を図りました
。
エージェントは本番のMySQLデータベースに到達し、Nacosのサービス設定項目 1,342件すべて を、MySQL標準搭載の AES_ENCRYPT 関数を用いて暗号化した後、元のデータを削除しました 。Sysdigの分析によると、エージェントはこの処理の後、使用可能な暗号化キーを保持または保存しなかったため、身代金を支払ってもデータを復旧することは不可能であったとみられます
。
侵害を受けたシステムにはビットコインでの支払いを要求する身代金メモが残されていました 。しかし、攻撃が暗号化キーを破棄したとみられるため、この恐喝要求はデータ復旧への信頼できる道筋を提供できないものでした
。
/api/v1/validate/code エンドポイントの制限: アップグレードが遅れる場合は、認証やWAFルールの背後にエンドポイントを配置し、認証されていない悪用のリスクを減らす AES_ENCRYPT 呼び出し、非ヒューマンクライアントからの異常なSQL文、高速なエラーと再試行のパターンにアラートを発報する