Hack do JumpCloud ligado à Coréia do Norte após erro de OPSEC
25 de Julho de 2023

Uma unidade de invasão da Coreia do Norte do Escritório Geral de Reconhecimento (RGB) foi associada à invasão ao JumpCloud depois que os atacantes cometeram um erro de segurança operacional (OPSEC), expondo inadvertidamente seus endereços IP da vida real.

O grupo de invasores, rastreado como UNC4899 pela Mandiant, foi previamente observado usando uma combinação de VPNs comerciais e Operational Relay Boxes (ORBs) usando túneis L2TP IPsec para esconder sua localização real.

A Mandiant diz que os agentes de ameaça da UNC4899 já usaram muitos provedores de VPN para esse propósito em campanhas anteriores, incluindo ExpressVPN, NordVPN, TorGuard, entre outros.

Enquanto é conhecido que os hackers do estado norte-coreano usam serviços de VPN comerciais para mascarar seus endereços IP e locais reais, durante o ataque ao JumpCloud, as VPNs que eles estavam usando falharam e expuseram seu local em Pyongyang ao se conectar à rede de uma vítima.

"A Mandiant observou o ator de ameaça da Coreia do Norte UNC4899 se conectando diretamente a um ORB controlado pelo atacante de seu subnet 175.45.178[.]0/24", disseram os pesquisadores.

"Além disso, observamos o ator de ameaça da Coreia do Norte se logar diretamente em um IP de Pyongyang, a partir de uma de suas caixas de salto.

Nossas evidências indicam que isto foi um deslize de OPSEC, pois a conexão com o bloco de rede norte-coreano foi de curta duração."

Além desse descuido de OPSEC, os pesquisadores de segurança da Mandiant também encontraram infraestrutura de ataque sobreposta a invasões anteriormente associadas ligadas a hackers norte-coreanos, fortalecendo ainda mais a atribuição da invasão a hackers norte-coreanos.

"Avaliamos com alta confiança que a UNC4899 é um grupo focado em criptomoedas que faz parte do RGB.

O direcionamento de UNC4899 é seletivo e eles foram observados ganhando acesso a redes de vítimas através do JumpCloud", acrescentou a Mandiant.

"Mandiant observou a UNC2970, APT43 e UNC4899 utilizando infraestrutura similar."

Na quinta-feira, a JumpCloud também confirmou que um grupo APT norte-coreano foi o responsável pela invasão de junho, com base na atribuição dos pesquisadores de segurança da SentinelOne e CrowdStrike naquele dia.

O Consultor Sênior de Resposta a Incidentes, Austin Larsen, contou ao BleepingComputer que os atacantes também atingiram uma vítima a jusante após sua invasão ao JumpCloud.

A Mandiant prevê que outras vítimas possam estar atualmente lidando com as repercussões deste ataque.

A JumpCloud forçou a rotação de todas as chaves de API de administração em 5 de julho, uma semana depois que o invasor violou sua rede através de um ataque de spear-phishing.

Enquanto a empresa agora atribuiu o ataque, ainda não divulgou o número de clientes afetados.

A JumpCloud, com sede no Colorado, é uma plataforma de serviço de diretório operacional que oferece serviços de autenticação única e multifatorial para uma vasta rede de mais de 180.000 organizações em mais de 160 países.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...