Анализът на индикаторите за компрометиране (IoC), свързани с хакването на JumpCloud, разкрива доказателства, сочещи участието на севернокорейски държавно спонсорирани групи в стил, който напомня на атаката по веригата за доставки, насочена към 3CX.
Констатациите идват от SentinelOne, която картографира инфраструктурата, свързана с проникването, за да открие основните модели. Струва си да се отбележи, че миналата седмица JumpCloud приписа атаката на неназован „сложен извършител, спонсориран от национална държава“.
„Севернокорейските хакери демонстрират високо ниво на креативност и стратегическа осведоменост в стратегиите си за насочване“, заяви Том Хегел, изследовател по сигурността в SentinelOne, пред The Hacker News. „Резултатите от изследването разкриват успешен и многостранен подход, използван за проникване в средите на разработчиците.“
„Те активно търсят достъп до инструменти и мрежи, които могат да послужат като врати към по-широки възможности. Заслужава да се отбележи тенденцията им да изпълняват няколко нива на проникване във веригата за доставки, преди да се заемат с финансово мотивирана кражба.“
Във връзка с това компанията CrowdStrike, която работи с JumpCloud за проучване на инцидента, приписва атаката на севернокорейски извършител, известен като Labyrinth Chollima, подгрупа в рамките на печално известната Lazarus Group, според Ройтерс.
Проникването е било използвано като „трамплин“ за насочване към компании за криптовалути, твърди информационната агенция, което показва опит от страна на противника да генерира незаконни приходи за засегнатата от санкции държава.
Разкритията съвпадат и с маломащабна кампания за социално инженерство, идентифицирана от GitHub, която е насочена към личните акаунти на служители на технологични фирми, използвайки комбинация от покани за достъп до хранилища и злонамерени зависимости на пакети npm. Целевите акаунти са свързани със секторите блокчейн, криптовалути, онлайн хазарт или киберсигурност.
Дъщерното дружество на Microsoft свързва кампанията със севернокорейска хакерска група, която проследява под името Jade Sleet (известна още като TraderTraitor).
„Jade Sleet се насочва предимно към потребители, свързани с криптовалути и други организации, свързани с блокчейн, но също така се насочва и към доставчици, използвани от тези фирми“, заяви Алексис Уелс от GitHub в доклад, публикуван на 18 юли 2023 г.
Веригите за атаки включват създаване на фалшиви личности в GitHub и други услуги на социалните медии като LinkedIn, Slack и Telegram, въпреки че в някои случаи се смята, че заплахата е поела контрола над легитимни акаунти.
Под приетата персона Jade Sleet инициира контакт с целите и ги кани да си сътрудничат с хранилище в GitHub, като убеждава жертвите да клонират и стартират съдържанието, което включва примамлив софтуер със злонамерени npm зависимости, които действат като първостепенен зловреден софтуер за изтегляне и изпълнение на второстепенен полезен товар на заразената машина.
Зловредните npm пакети по GitHub са част от кампания, която за първи път стана известна миналия месец, когато Phylum подробно описа заплаха за веригата за доставки, включваща уникална верига за изпълнение, която използва двойка измамни модули за извличане на неизвестен зловреден софтуер от отдалечен сървър.
В последния си анализ SentinelOne заяви, че 144.217.92[.]197, IP адрес, свързан с атаката на JumpCloud, се пренасочва към npmaudit[.]com, един от осемте домейна, изброени от GitHub като използвани за извличане на зловредния софтуер на втори етап. Вторият IP адрес 23.29.115[.]171 е свързан с npm-pool[.]org.
„Очевидно е, че севернокорейците непрекъснато се адаптират и проучват нови методи за проникване в целеви мрежи“, казва Хегел. „Проникването в JumpCloud служи като ясна илюстрация на склонността им към насочване към веригата за доставки, което води до множество потенциални последващи прониквания.“
„КНДР демонстрира дълбоко разбиране на ползите, произтичащи от щателното подбиране на цели с висока стойност като отправна точка за провеждане на атаки по веригата за доставки в плодотворни мрежи“, добави Хегел.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.