Търсене
Close this search box.

Анализът на индикаторите за компрометиране (IoC), свързани с хакването на JumpCloud, разкрива доказателства, сочещи участието на севернокорейски държавно спонсорирани групи в стил, който напомня на атаката по веригата за доставки, насочена към 3CX.

Констатациите идват от SentinelOne, която картографира инфраструктурата, свързана с проникването, за да открие основните модели. Струва си да се отбележи, че миналата седмица JumpCloud приписа атаката на неназован „сложен извършител, спонсориран от национална държава“.

„Севернокорейските хакери демонстрират високо ниво на креативност и стратегическа осведоменост в стратегиите си за насочване“, заяви Том Хегел, изследовател по сигурността в SentinelOne, пред The Hacker News. „Резултатите от изследването разкриват успешен и многостранен подход, използван  за проникване в средите на разработчиците.“

„Те активно търсят достъп до инструменти и мрежи, които могат да послужат като врати към по-широки възможности. Заслужава да се отбележи тенденцията им да изпълняват няколко нива на проникване във веригата за доставки, преди да се заемат с финансово мотивирана кражба.“

Във връзка с това компанията CrowdStrike, която работи с JumpCloud за проучване на инцидента, приписва атаката на севернокорейски извършител, известен като Labyrinth Chollima, подгрупа в рамките на печално известната Lazarus Group, според Ройтерс.

Проникването е било използвано като „трамплин“ за насочване към компании за криптовалути, твърди информационната агенция, което показва опит от страна на противника да генерира незаконни приходи за засегнатата от санкции държава.

Разкритията съвпадат и с маломащабна кампания за социално инженерство, идентифицирана от GitHub, която е насочена към личните акаунти на служители на технологични фирми, използвайки комбинация от покани за достъп до хранилища и злонамерени зависимости на пакети npm. Целевите акаунти са свързани със секторите блокчейн, криптовалути, онлайн хазарт или киберсигурност.

Дъщерното дружество на Microsoft свързва кампанията със севернокорейска хакерска група, която проследява под името Jade Sleet (известна още като TraderTraitor).

„Jade Sleet се насочва предимно към потребители, свързани с криптовалути и други организации, свързани с блокчейн, но също така се насочва и към доставчици, използвани от тези фирми“, заяви Алексис Уелс от GitHub в доклад, публикуван на 18 юли 2023 г.

Веригите за атаки включват създаване на фалшиви личности в GitHub и други услуги на социалните медии като LinkedIn, Slack и Telegram, въпреки че в някои случаи се смята, че заплахата е поела контрола над легитимни акаунти.

Под приетата персона Jade Sleet инициира контакт с целите и ги кани да си сътрудничат с хранилище в GitHub, като убеждава жертвите да клонират и стартират съдържанието, което включва примамлив софтуер със злонамерени npm зависимости, които действат като първостепенен зловреден софтуер за изтегляне и изпълнение на второстепенен полезен товар на заразената машина.

Зловредните npm пакети по GitHub са част от кампания, която за първи път стана известна миналия месец, когато Phylum подробно описа заплаха за веригата за доставки, включваща уникална верига за изпълнение, която използва двойка измамни модули за извличане на неизвестен зловреден софтуер от отдалечен сървър.

В последния си анализ SentinelOne заяви, че 144.217.92[.]197, IP адрес, свързан с атаката на JumpCloud, се пренасочва към npmaudit[.]com, един от осемте домейна, изброени от GitHub като използвани за извличане на зловредния софтуер на втори етап. Вторият IP адрес 23.29.115[.]171 е свързан с npm-pool[.]org.

„Очевидно е, че севернокорейците  непрекъснато се адаптират и проучват нови методи за проникване в целеви мрежи“, казва Хегел. „Проникването в JumpCloud служи като ясна илюстрация на склонността им към насочване към веригата за доставки, което води до множество потенциални последващи прониквания.“

„КНДР демонстрира дълбоко разбиране на ползите, произтичащи от щателното подбиране на цели с висока стойност като отправна точка за провеждане на атаки по веригата за доставки в плодотворни мрежи“, добави Хегел.

Източник: The Hacker News

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
8 декември 2024

Off topic: Не яжте!

Хората, които си купуват нови електронни устройства, имат една пост...
8 декември 2024

„Стачка“ на роботи поражда опасения за сигурността

Тест в Шанхай разкрива способността на робот с изкуствен интелект д...
Бъдете социални
Още по темата
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!