Hack do JumpCloud ligado à Coréia do Norte após erro de OPSEC
25 de Julho de 2023

Uma unidade de invasão da Coreia do Norte do Escritório Geral de Reconhecimento (RGB) foi associada à invasão ao JumpCloud depois que os atacantes cometeram um erro de segurança operacional (OPSEC), expondo inadvertidamente seus endereços IP da vida real.

O grupo de invasores, rastreado como UNC4899 pela Mandiant, foi previamente observado usando uma combinação de VPNs comerciais e Operational Relay Boxes (ORBs) usando túneis L2TP IPsec para esconder sua localização real.

A Mandiant diz que os agentes de ameaça da UNC4899 já usaram muitos provedores de VPN para esse propósito em campanhas anteriores, incluindo ExpressVPN, NordVPN, TorGuard, entre outros.

Enquanto é conhecido que os hackers do estado norte-coreano usam serviços de VPN comerciais para mascarar seus endereços IP e locais reais, durante o ataque ao JumpCloud, as VPNs que eles estavam usando falharam e expuseram seu local em Pyongyang ao se conectar à rede de uma vítima.

"A Mandiant observou o ator de ameaça da Coreia do Norte UNC4899 se conectando diretamente a um ORB controlado pelo atacante de seu subnet 175.45.178[.]0/24", disseram os pesquisadores.

"Além disso, observamos o ator de ameaça da Coreia do Norte se logar diretamente em um IP de Pyongyang, a partir de uma de suas caixas de salto.

Nossas evidências indicam que isto foi um deslize de OPSEC, pois a conexão com o bloco de rede norte-coreano foi de curta duração."

Além desse descuido de OPSEC, os pesquisadores de segurança da Mandiant também encontraram infraestrutura de ataque sobreposta a invasões anteriormente associadas ligadas a hackers norte-coreanos, fortalecendo ainda mais a atribuição da invasão a hackers norte-coreanos.

"Avaliamos com alta confiança que a UNC4899 é um grupo focado em criptomoedas que faz parte do RGB.

O direcionamento de UNC4899 é seletivo e eles foram observados ganhando acesso a redes de vítimas através do JumpCloud", acrescentou a Mandiant.

"Mandiant observou a UNC2970, APT43 e UNC4899 utilizando infraestrutura similar."

Na quinta-feira, a JumpCloud também confirmou que um grupo APT norte-coreano foi o responsável pela invasão de junho, com base na atribuição dos pesquisadores de segurança da SentinelOne e CrowdStrike naquele dia.

O Consultor Sênior de Resposta a Incidentes, Austin Larsen, contou ao BleepingComputer que os atacantes também atingiram uma vítima a jusante após sua invasão ao JumpCloud.

A Mandiant prevê que outras vítimas possam estar atualmente lidando com as repercussões deste ataque.

A JumpCloud forçou a rotação de todas as chaves de API de administração em 5 de julho, uma semana depois que o invasor violou sua rede através de um ataque de spear-phishing.

Enquanto a empresa agora atribuiu o ataque, ainda não divulgou o número de clientes afetados.

A JumpCloud, com sede no Colorado, é uma plataforma de serviço de diretório operacional que oferece serviços de autenticação única e multifatorial para uma vasta rede de mais de 180.000 organizações em mais de 160 países.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...