Търсене
Close this search box.

КНДР е заподозряна за атаката на веригата за доставки JumpCloud

Анализът на индикаторите за компрометиране (IoC), свързани с хакването на JumpCloud, разкрива доказателства, сочещи участието на севернокорейски държавно спонсорирани групи в стил, който напомня на атаката по веригата за доставки, насочена към 3CX.

Констатациите идват от SentinelOne, която картографира инфраструктурата, свързана с проникването, за да открие основните модели. Струва си да се отбележи, че миналата седмица JumpCloud приписа атаката на неназован „сложен извършител, спонсориран от национална държава“.

„Севернокорейските хакери демонстрират високо ниво на креативност и стратегическа осведоменост в стратегиите си за насочване“, заяви Том Хегел, изследовател по сигурността в SentinelOne, пред The Hacker News. „Резултатите от изследването разкриват успешен и многостранен подход, използван  за проникване в средите на разработчиците.“

„Те активно търсят достъп до инструменти и мрежи, които могат да послужат като врати към по-широки възможности. Заслужава да се отбележи тенденцията им да изпълняват няколко нива на проникване във веригата за доставки, преди да се заемат с финансово мотивирана кражба.“

Във връзка с това компанията CrowdStrike, която работи с JumpCloud за проучване на инцидента, приписва атаката на севернокорейски извършител, известен като Labyrinth Chollima, подгрупа в рамките на печално известната Lazarus Group, според Ройтерс.

Проникването е било използвано като „трамплин“ за насочване към компании за криптовалути, твърди информационната агенция, което показва опит от страна на противника да генерира незаконни приходи за засегнатата от санкции държава.

Разкритията съвпадат и с маломащабна кампания за социално инженерство, идентифицирана от GitHub, която е насочена към личните акаунти на служители на технологични фирми, използвайки комбинация от покани за достъп до хранилища и злонамерени зависимости на пакети npm. Целевите акаунти са свързани със секторите блокчейн, криптовалути, онлайн хазарт или киберсигурност.

Дъщерното дружество на Microsoft свързва кампанията със севернокорейска хакерска група, която проследява под името Jade Sleet (известна още като TraderTraitor).

„Jade Sleet се насочва предимно към потребители, свързани с криптовалути и други организации, свързани с блокчейн, но също така се насочва и към доставчици, използвани от тези фирми“, заяви Алексис Уелс от GitHub в доклад, публикуван на 18 юли 2023 г.

Веригите за атаки включват създаване на фалшиви личности в GitHub и други услуги на социалните медии като LinkedIn, Slack и Telegram, въпреки че в някои случаи се смята, че заплахата е поела контрола над легитимни акаунти.

Под приетата персона Jade Sleet инициира контакт с целите и ги кани да си сътрудничат с хранилище в GitHub, като убеждава жертвите да клонират и стартират съдържанието, което включва примамлив софтуер със злонамерени npm зависимости, които действат като първостепенен зловреден софтуер за изтегляне и изпълнение на второстепенен полезен товар на заразената машина.

Зловредните npm пакети по GitHub са част от кампания, която за първи път стана известна миналия месец, когато Phylum подробно описа заплаха за веригата за доставки, включваща уникална верига за изпълнение, която използва двойка измамни модули за извличане на неизвестен зловреден софтуер от отдалечен сървър.

В последния си анализ SentinelOne заяви, че 144.217.92[.]197, IP адрес, свързан с атаката на JumpCloud, се пренасочва към npmaudit[.]com, един от осемте домейна, изброени от GitHub като използвани за извличане на зловредния софтуер на втори етап. Вторият IP адрес 23.29.115[.]171 е свързан с npm-pool[.]org.

„Очевидно е, че севернокорейците  непрекъснато се адаптират и проучват нови методи за проникване в целеви мрежи“, казва Хегел. „Проникването в JumpCloud служи като ясна илюстрация на склонността им към насочване към веригата за доставки, което води до множество потенциални последващи прониквания.“

„КНДР демонстрира дълбоко разбиране на ползите, произтичащи от щателното подбиране на цели с висока стойност като отправна точка за провеждане на атаки по веригата за доставки в плодотворни мрежи“, добави Хегел.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
23/07/2024

Гърция пребори успешно въл...

Агенцията за поземлен регистър в Гърция...
20/07/2024

Akira Ransomware: Светкавич...

Изнудвачите от Akira вече са способни...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!