O ataque cibernético do qual a empresa de gerenciamento de diretório, identidade e acesso JumpCloud foi vítima no final de junho pode ser atribuído à atividade de ameaça persistente avançada (APT) norte-coreana, disse a empresa de segurança cibernética SentinelOne.

A JumpCloud revelou na semana passada que o ataque começou em 22 de junho com uma campanha de e-mail de spear phishing e que resultou na injeção de dados em sua estrutura de comandos algumas semanas depois.

Atribuindo o incidente a um “agente sofisticado de ameaça patrocinado por um estado-nação”, a empresa anunciou que o ataque foi extremamente direcionado, com foco em um conjunto limitado de clientes.

A JumpCloud não compartilhou informações específicas sobre o número de clientes afetados, nem sobre o tipo de dados comprometidos no ataque. A empresa fornece soluções para mais de 180.000 organizações.

“A JumpCloud experimentou recentemente um incidente de segurança cibernética que afetou um grupo pequeno e específico de nossos clientes. Ao detectar o incidente, imediatamente agimos com base em nosso plano de resposta a incidentes para mitigar a ameaça, proteger nossa rede e perímetro, nos comunicar com nossos clientes e envolver a aplicação da lei”, disse um porta-voz da JumpCloud. Cibersegurança Notíciasrespondendo a uma consulta.

Depois de analisar os indicadores de comprometimento (IoCs) que o JumpCloud compartilhou na semana passada, Links identificados pelo SentinelOne às atividades patrocinadas pelo Estado norte-coreano.

“Os IOCs estão ligados a uma ampla variedade de atividades que atribuímos à RPDC, em geral centradas na abordagem de segmentação da cadeia de suprimentos vista em campanhas anteriores”, diz SentinelOne.

Os IoCs compartilhados pela JumpCloud permitiram que a empresa de segurança cibernética mapeasse a infraestrutura dos invasores, identificando domínios que foram construídos usando padrões observados em incidentes norte-coreanos anteriores.

O SentinelOne também identificou links para várias infraestruturas temáticas de NPM e ‘pacote’ e para infraestrutura vinculada à campanha TraderTraitor, ao hack 3CX e à operação AppleJeus, todos atribuídos a hackers norte-coreanos.

“É evidente que os agentes de ameaças norte-coreanos estão continuamente se adaptando e explorando novos métodos para se infiltrar nas redes visadas. A invasão do JumpCloud serve como uma ilustração clara de sua inclinação para o direcionamento da cadeia de suprimentos, o que gera uma infinidade de possíveis invasões subsequentes”, observa SentinelOne.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.