Violação do JumpCloud rastreada até hackers do estado norte-coreano
21 de Julho de 2023

A empresa de software empresarial sediada nos EUA, JumpCloud, foi violada por hackers do Grupo Lazarus, da Coreia do Norte, de acordo com pesquisadores de segurança da SentinelOne, CrowdStrike e Mandiant.

Em um relatório publicado na quinta-feira, o Pesquisador Sênior de Ameaças da SentinelOne, Tom Hegel, ligou o grupo de ameaças da Coreia do Norte ao hack da JumpCloud com base em múltiplos indicadores de comprometimento compartilhados pela empresa em um relatório de incidente recente.

"Ao revisar os novos indicadores de comprometimento, associamos o aglomerado de atividades de ameaças a uma APT patrocinada pelo estado da Coreia do Norte", disse Hegel.

"Os IOCs estão ligados a uma ampla variedade de atividades que atribuímos à RPDC, geralmente centrada na abordagem de segmentação da cadeia de suprimentos vista em campanhas anteriores."

A empresa de segurança cibernética CrowdStrike também identificou formalmente o Labyrinth Chollima (cuja atividade se sobrepõe à do Grupo Lazarus, ZINC e Black Artemis) como o esquadrão de hackers norte-coreano responsável pela violação com base em evidências encontradas durante a investigação do ataque em colaboração com a JumpCloud.

"Um de seus principais objetivos tem sido gerar receita para o regime.

Não acho que veremos o fim dos ataques à cadeia de suprimentos da Coreia do Norte este ano", disse o Vice-Presidente de Inteligência da CrowdStrike, Adam Meyers, à Reuters.

A Mandiant também atribuiu o ataque a um ator de ameaças norte-coreano não identificado conhecido por segmentar organizações de criptomoedas.

"A Mandiant avalia com alta confiança que este é um elemento focado em criptomoedas dentro do Reconnaissance General Bureau (RGB) da RPDC, que tem como alvo empresas com verticais de criptomoedas para obter credenciais e informações de reconhecimento", disse o Consultor Sênior de Resposta a Incidentes da Mandiant, Austin Larsen, à BleepingComputer.

"Este é um ator de ameaças motivado financeiramente que vimos cada vez mais alvo da indústria de criptomoedas e de várias plataformas de blockchain."

Larsen também disse que os agressores já atingiram uma vítima a jusante depois de violarem a JumpCloud, com a Mandiant prevendo que há outras vítimas atualmente lidando com as consequências do ataque.

Este grupo de hackers está ativo há mais de uma década, desde pelo menos 2009, e é conhecido por ataques contra alvos de alto perfil em todo o mundo, incluindo bancos, agências governamentais e organizações de mídia.

O FBI ligou os invasores do Grupo Lazarus à violação da ponte de rede Ronin do Axie Infinity, o maior hack de criptomoedas de todos os tempos, que lhes permitiu roubar um recorde de $620 milhões em Ethereum.

Em abril, a Mandiant disse que outro grupo de ameaças da Coreia do Norte rastreado como UNC4736 estava por trás do ataque em cascata à cadeia de suprimentos que atingiu a empresa VoIP 3CX em março.

UNC4736 está relacionado ao Grupo Lazarus por trás da Operação AppleJeus, que foi conectado pelo Google TAG à violação do site da Trading Technologies, o desenvolvedor do 3CX.

Em 27 de junho, a JumpCloud descobriu um incidente em que "um sofisticado ator de ameaças patrocinado por um estado nação" violou seus sistemas por meio de um ataque de spear-phishing.

Embora não houvesse evidências imediatas de impacto no cliente, a JumpCloud rotacionou proativamente as credenciais e reconstruiu a infraestrutura comprometida como medida de precaução.

Durante a investigação, em 5 de julho, a JumpCloud detectou "atividade incomum no framework de comandos para um pequeno conjunto de clientes."

Colaborando com parceiros de resposta a incidentes e com a agentes da lei, também analisou registros em busca de sinais de atividade maliciosa e rotacionou forçosamente todas as chaves de API de administração.

Em um comunicado divulgado em 12 de julho, a JumpCloud compartilhou detalhes do incidente e divulgou indicadores de comprometimento (IOCs) para ajudar parceiros a proteger suas redes contra ataques do mesmo grupo.

Por enquanto, a JumpCloud não divulgou o número de clientes impactados pelo ataque e não atribuiu o grupo APT por trás da violação a um estado específico.

Em janeiro, a empresa também divulgou que estava investigando o impacto de um incidente de segurança do CircleCI em seus clientes.

Com sede em Louisville, Colorado, a JumpCloud opera uma plataforma de diretório como serviço, fornecendo serviços de autenticação única e autenticação multifator a mais de 180.000 organizações em mais de 160 países.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...