Търсене
Close this search box.

КНДР е заподозряна за атаката на веригата за доставки JumpCloud

Анализът на индикаторите за компрометиране (IoC), свързани с хакването на JumpCloud, разкрива доказателства, сочещи участието на севернокорейски държавно спонсорирани групи в стил, който напомня на атаката по веригата за доставки, насочена към 3CX.

Констатациите идват от SentinelOne, която картографира инфраструктурата, свързана с проникването, за да открие основните модели. Струва си да се отбележи, че миналата седмица JumpCloud приписа атаката на неназован „сложен извършител, спонсориран от национална държава“.

„Севернокорейските хакери демонстрират високо ниво на креативност и стратегическа осведоменост в стратегиите си за насочване“, заяви Том Хегел, изследовател по сигурността в SentinelOne, пред The Hacker News. „Резултатите от изследването разкриват успешен и многостранен подход, използван  за проникване в средите на разработчиците.“

„Те активно търсят достъп до инструменти и мрежи, които могат да послужат като врати към по-широки възможности. Заслужава да се отбележи тенденцията им да изпълняват няколко нива на проникване във веригата за доставки, преди да се заемат с финансово мотивирана кражба.“

Във връзка с това компанията CrowdStrike, която работи с JumpCloud за проучване на инцидента, приписва атаката на севернокорейски извършител, известен като Labyrinth Chollima, подгрупа в рамките на печално известната Lazarus Group, според Ройтерс.

Проникването е било използвано като „трамплин“ за насочване към компании за криптовалути, твърди информационната агенция, което показва опит от страна на противника да генерира незаконни приходи за засегнатата от санкции държава.

Разкритията съвпадат и с маломащабна кампания за социално инженерство, идентифицирана от GitHub, която е насочена към личните акаунти на служители на технологични фирми, използвайки комбинация от покани за достъп до хранилища и злонамерени зависимости на пакети npm. Целевите акаунти са свързани със секторите блокчейн, криптовалути, онлайн хазарт или киберсигурност.

Дъщерното дружество на Microsoft свързва кампанията със севернокорейска хакерска група, която проследява под името Jade Sleet (известна още като TraderTraitor).

„Jade Sleet се насочва предимно към потребители, свързани с криптовалути и други организации, свързани с блокчейн, но също така се насочва и към доставчици, използвани от тези фирми“, заяви Алексис Уелс от GitHub в доклад, публикуван на 18 юли 2023 г.

Веригите за атаки включват създаване на фалшиви личности в GitHub и други услуги на социалните медии като LinkedIn, Slack и Telegram, въпреки че в някои случаи се смята, че заплахата е поела контрола над легитимни акаунти.

Под приетата персона Jade Sleet инициира контакт с целите и ги кани да си сътрудничат с хранилище в GitHub, като убеждава жертвите да клонират и стартират съдържанието, което включва примамлив софтуер със злонамерени npm зависимости, които действат като първостепенен зловреден софтуер за изтегляне и изпълнение на второстепенен полезен товар на заразената машина.

Зловредните npm пакети по GitHub са част от кампания, която за първи път стана известна миналия месец, когато Phylum подробно описа заплаха за веригата за доставки, включваща уникална верига за изпълнение, която използва двойка измамни модули за извличане на неизвестен зловреден софтуер от отдалечен сървър.

В последния си анализ SentinelOne заяви, че 144.217.92[.]197, IP адрес, свързан с атаката на JumpCloud, се пренасочва към npmaudit[.]com, един от осемте домейна, изброени от GitHub като използвани за извличане на зловредния софтуер на втори етап. Вторият IP адрес 23.29.115[.]171 е свързан с npm-pool[.]org.

„Очевидно е, че севернокорейците  непрекъснато се адаптират и проучват нови методи за проникване в целеви мрежи“, казва Хегел. „Проникването в JumpCloud служи като ясна илюстрация на склонността им към насочване към веригата за доставки, което води до множество потенциални последващи прониквания.“

„КНДР демонстрира дълбоко разбиране на ползите, произтичащи от щателното подбиране на цели с висока стойност като отправна точка за провеждане на атаки по веригата за доставки в плодотворни мрежи“, добави Хегел.

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
23/02/2024

Новата ера в хактивизма

През последните две години наблюдаваме значително...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!