A empresa de software sediada nos EUA, JumpCloud, diz que um grupo de hackers invadiu seus sistemas há quase um mês como parte de um ataque altamente direcionado focado em um conjunto limitado de clientes.
A empresa descobriu o incidente em 27 de junho, uma semana após os invasores violarem seus sistemas através de um ataque de spear-phishing.
Embora a JumpCloud não tenha encontrado evidência de que seus clientes foram afetados no momento, a empresa decidiu alterar as credenciais e reconstruir a infraestrutura comprometida.
Em 5 de julho, a JumpCloud descobriu "atividade incomum no quadro de comandos para um pequeno conjunto de clientes" enquanto investigava o ataque e analisava logs em busca de sinais de atividade maliciosa em colaboração com parceiros de IR e aplicação da lei.
No mesmo dia, a empresa forçou a rotação de todas as chaves API de admin para proteger as organizações dos clientes e os notificou para gerar novas chaves.
"A análise contínua revelou o vetor do ataque: injeção de dados em nosso quadro de comandos.
A análise também confirmou suspeitas de que o ataque era extremamente direcionado e limitado a clientes específicos," disse Bob Phan, CISO da JumpCloud.
"Esses são adversários sofisticados e persistentes com capacidades avançadas.
Nossa melhor linha de defesa é através do compartilhamento de informações e colaboração."
Junto com os detalhes do incidente compartilhados no conselho, a JumpCloud também divulgou indicadores de comprometimento (IOCs) para permitir que parceiros protegessem suas redes de ataques semelhantes do mesmo grupo de ameaças.
A JumpCloud ainda não forneceu nenhuma informação sobre o número de clientes impactados pelo ataque e não vinculou o grupo APT por trás da violação a um estado específico.
"Continuaremos a aprimorar nossas próprias medidas de segurança para proteger nossos clientes de ameaças futuras e trabalharemos de perto com nossos parceiros governamentais e da indústria para compartilhar informações relacionadas a essa ameaça," disse Phan.
Em janeiro, a JumpCloud também investigou o impacto potencial de um incidente de segurança do CircleCI em seus clientes.
Fundada em 2013 e com sede em Louisville, Colorado, a plataforma de serviço de diretório da JumpCloud oferece serviços de autenticação única e multi-fatorial para mais de 180.000 organizações em mais de 160 países.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...