Sentinelone, Crowdstrike ve Mantiant'taki güvenlik araştırmacılarına göre, ABD merkezli kurumsal yazılım şirketi JumpCloud, Kuzey Koreli Lazarus Group hackerları tarafından ihlal edildi.
Perşembe günü yayınlanan bir raporda, Sentinelone kıdemli tehdit araştırmacısı Tom Hegel, Kuzey Kore tehdidi grubunu, son olay raporunda şirket tarafından paylaşılan birden fazla uzlaşma göstergesine dayanarak JumpCloud Hack'e bağladı.
Hegel, "Yeni yayınlanan uzlaşma göstergelerini inceleyerek, tehdit faaliyet kümesini Kuzey Kore devletine sponsorlu bir APT ile ilişkilendiriyoruz." Dedi.
"IOC'ler, önceki kampanyalarda görülen tedarik zinciri hedefleme yaklaşımına odaklanan DPRK'ya atfettiğimiz çok çeşitli etkinliklerle bağlantılıdır."
Siber güvenlik firması Crowdstrike ayrıca, JumpCloud ile işbirliğindeki saldırıyı araştırırken bulunan kanıtlara dayanarak, ihlalin arkasındaki belirli Kuzey Kore hackleme kadrosu olarak Labirent Chollima'yı (Lazarus Grubu, çinko ve Black Artemis ile örtüşen) resmi olarak etiketledi.
İstihbarat Başkan Yardımcısı Adam Meyers Reuters'e verdiği demeçte, "Birincil hedeflerinden biri rejim için gelir elde ediyor. Bu yıl Kuzey Kore tedarik zinciri saldırılarını göreceğimizi sanmıyorum."
Mantiant ayrıca kripto para birimi organizasyonlarını hedeflediği bilinen isimsiz bir Kuzey Koreli tehdit oyuncusu saldırısını da sabitledi.
Kıdemli Olay Müdahale Danışmanı Austin Larsen, BleepingComputer'a verdiği demeçte, "Mantiant, DPRK'nın Keşif Genel Bürosu (RGB) içinde kripto para odaklı bir unsur olduğunu ve kripto para birimi sektörlerine sahip şirketleri kimlik bilgileri ve keşif verileri elde etmek için yüksek güvenle değerlendiriyor." Dedi.
Diyerek şöyle devam etti: "Bu, kripto para birimi endüstrisini ve çeşitli blockchain platformlarını giderek daha fazla hedeflediğimiz finansal olarak motive olmuş bir tehdit oyuncusu."
Larsen ayrıca, saldırganların JumpCloud'u ihlal ettikten sonra zaten bir aşağı yönlü kurbanı vurduklarını ve Mantiant'ın şu anda saldırının serpilmesiyle uğraşan başka kurbanlar olduğunu öngördüğünü söyledi.
Bu hack grubu, en az 2009'dan beri on yılı aşkın bir süredir aktiftir ve bankalar, devlet kurumları ve medya kuruluşları da dahil olmak üzere dünya çapında yüksek profilli hedeflere yönelik saldırılarla bilinir.
FBI, Lazarus Grup saldırganlarını şimdiye kadarki en büyük kripto para hack olan Axie Infinity'nin Ronin Network Köprüsü'nün ihlaline bağladı ve bu da Ethereum'da rekor kıran bir 620 milyon dolar çalmalarına izin verdi.
Nisan ayında Mantiant, UNC4736 olarak izlenen başka bir Kuzey Kore tehdit grubunun Mart ayında VOIP firması 3CX'i vuran basamaklı tedarik zinciri saldırısının arkasında olduğunu söyledi. UNC4736, Google Tag tarafından Ticaret Technologies'in web sitesi 3CX geliştiricisinin uzlaşmasına bağlanan Applejeus Operasyonunun arkasındaki Lazarus Grubu ile ilgilidir.
27 Haziran'da JumpCloud, "sofistike bir ulus-devlet sponsorlu tehdit oyuncusu" nun bir mızrak aktı saldırısı yoluyla sistemlerini ihlal ettiği bir olay keşfetti. Her ne kadar müşteri etkisine dair acil bir kanıt olmamasına rağmen, JumpCloud proaktif olarak döndürülmüş kimlik bilgilerini ve güvence altına alınmış altyapıyı ihtiyati bir önlem olarak yeniden inşa etmiştir.
Soruşturma sırasında, 5 Temmuz'da JumpCloud "küçük bir müşteri seti için komutlar çerçevesinde olağandışı faaliyet" tespit etti. Olay müdahalesi ortakları ve kolluk kuvvetleri ile işbirliği yapan, kötü amaçlı etkinlik belirtileri ve tüm yönetici API anahtarları belirtileri için günlükleri analiz etti.
12 Temmuz'da yayınlanan bir danışmanlıkta, JumpCloud olayın ayrıntılarını paylaştı ve ortakların ağlarını aynı gruptan gelen saldırılara karşı güvence altına almalarına yardımcı olmak için uzlaşma göstergeleri (IOCS) yayınladı.
Şu an itibariyle, JumpCloud saldırıdan etkilenen müşteri sayısını açıklamamıştır ve ihlalin arkasındaki APT grubunu belirli bir duruma bağlamamıştır.
Ocak ayında şirket ayrıca, bir Circleci güvenlik olayının müşterileri üzerindeki etkisini araştırdığını açıkladı.
Merkezi Louisville, Colorado'da bulunan JumpCloud, 160'dan fazla ülkede 180.000'den fazla kuruluşa tek oturum açma ve çok faktörlü kimlik doğrulama hizmetleri sunan bir hizmet olarak bir dizin platformu işletmektedir.
GÜNCELLEME 20 Temmuz 13:00 EDT: En az bir aşağı akış kurbanı hakkında maniant beyan ve bilgi eklendi.
GÜNCELLEME 20 Temmuz 14:36 EDT: JumpCloud da şimdi bir Kuzey Koreli APT grubunun Haziran saldırısının arkasında olduğunu doğruladı.
Crowdstrike'ın olay müdahale ortağımız olduğunu doğrulayabiliriz. Ayrıca belirlediğimizi ve Crowdstrike'ın katılan ulus-devlet aktörünün Kuzey Kore olduğunu doğruladığını bildirebiliriz. Daha da önemlisi, çeşitli kimlik, erişim, güvenlik ve yönetim işlevleri için JumpCloud platformuna güvenen 200.000'den fazla kuruluştan 5'den az JumpCloud müşteri etkilendi ve toplam 10 cihazdan daha az cihaz etkilendi. Etkilenen tüm müşteriler doğrudan bilgilendirildi. - Bob Phan, Jumpcloud Ciso
JumpCloud, devlet destekli Apt Hacking Grubu tarafından ihlali açıklar
Github, kötü niyetli projelerle geliştiricileri hedefleyen Lazarus hacker'larını uyarıyor
Rockwell, kritik altyapıyı hedefleyen yeni APT RCE istismarı konusunda uyarıyor
JumpCloud, 'Devam Eden Olayı' arasında Yönetici API anahtarlarını sıfırlar
Kuzey Koreli Andariel Hacking Group'a bağlı yeni EarlyRat kötü amaçlı yazılım
Kaynak: Bleeping Computer