O ataque cibernético do qual a empresa de gerenciamento de diretório, identidade e acesso JumpCloud foi vítima no final de junho pode ser atribuído à atividade de ameaça persistente avançada (APT) norte-coreana, disse a empresa de segurança cibernética SentinelOne.
A JumpCloud revelou na semana passada que o ataque começou em 22 de junho com uma campanha de e-mail de spear phishing e que resultou na injeção de dados em sua estrutura de comandos algumas semanas depois.
Atribuindo o incidente a um “agente sofisticado de ameaça patrocinado por um estado-nação”, a empresa anunciou que o ataque foi extremamente direcionado, com foco em um conjunto limitado de clientes.
A JumpCloud não compartilhou informações específicas sobre o número de clientes afetados, nem sobre o tipo de dados comprometidos no ataque. A empresa fornece soluções para mais de 180.000 organizações.
“A JumpCloud experimentou recentemente um incidente de segurança cibernética que afetou um grupo pequeno e específico de nossos clientes. Ao detectar o incidente, imediatamente agimos com base em nosso plano de resposta a incidentes para mitigar a ameaça, proteger nossa rede e perímetro, nos comunicar com nossos clientes e envolver a aplicação da lei”, disse um porta-voz da JumpCloud. Cibersegurança Notíciasrespondendo a uma consulta.
Depois de analisar os indicadores de comprometimento (IoCs) que o JumpCloud compartilhou na semana passada, Links identificados pelo SentinelOne às atividades patrocinadas pelo Estado norte-coreano.
“Os IOCs estão ligados a uma ampla variedade de atividades que atribuímos à RPDC, em geral centradas na abordagem de segmentação da cadeia de suprimentos vista em campanhas anteriores”, diz SentinelOne.
Os IoCs compartilhados pela JumpCloud permitiram que a empresa de segurança cibernética mapeasse a infraestrutura dos invasores, identificando domínios que foram construídos usando padrões observados em incidentes norte-coreanos anteriores.
O SentinelOne também identificou links para várias infraestruturas temáticas de NPM e ‘pacote’ e para infraestrutura vinculada à campanha TraderTraitor, ao hack 3CX e à operação AppleJeus, todos atribuídos a hackers norte-coreanos.
“É evidente que os agentes de ameaças norte-coreanos estão continuamente se adaptando e explorando novos métodos para se infiltrar nas redes visadas. A invasão do JumpCloud serve como uma ilustração clara de sua inclinação para o direcionamento da cadeia de suprimentos, o que gera uma infinidade de possíveis invasões subsequentes”, observa SentinelOne.