Hackers norte-coreanos atacaram empresas de tecnologia por meio do JumpCloud e do GitHub

Views: 492
0 0
Read Time:3 Minute, 3 Second

A invasão do JumpCloud

Em 27 de junho, a JumpCloud – uma empresa de software empresarial que oferece um diretório baseado em nuvem como plataforma de serviço – notou alguma atividade incomum em um sistema de orquestração interna e rastreou-a até um ataque de spear-phishing ocorrido em 22 de junho.

Embora eles tenham entrado em ação rapidamente após essas primeiras indicações e ativado seu plano de resposta a incidentes, levaram até 5 de julho para descobrir atividades incomuns na estrutura de comandos de alguns clientes.

“A análise contínua revelou o vetor de ataque: injeção de dados em nossa estrutura de comandos. A análise também confirmou as suspeitas de que o ataque foi extremamente direcionado e limitado a clientes específicos”, observou a empresa .

“Menos de 5 clientes JumpCloud foram afetados e menos de 10 dispositivos no total foram afetados, de mais de 200.000 organizações que contam com a plataforma JumpCloud para uma variedade de funções de identidade, acesso, segurança e gerenciamento,”

Uma investigação mais aprofundada da JumpCloud e da Crowdstrike confirmou que o hack foi realizado por um grupo norte-coreano patrocinado pelo estado.

A investigação da Mandiant envolvendo uma organização de vítimas downstream que foi comprometida como resultado da invasão do JumpCloud confirmou isso. Os invasores visaram empresas com verticais de criptomoedas para obter credenciais e dados de reconhecimento, dizem eles.

A JumpCloud lançou indicadores de comprometimento para ajudar os clientes a proteger seus sistemas.

A campanha de engenharia social do GitHub

O GitHub alertou sobre uma campanha de engenharia social de baixo volume direcionada a contas pessoais de funcionários (desenvolvedores) de empresas de tecnologia nos setores de blockchain, criptomoeda ou jogos de azar online.

O ataque começa com o agente da ameaça criando contas falsas (ou sequestrando contas existentes) no GitHub e outras redes sociais, se passando por um desenvolvedor ou recrutador.

“Depois de estabelecer contato com um alvo, o agente da ameaça convida o alvo a colaborar em um repositório do GitHub e o convence a clonar e executar seu conteúdo”, explicou Alexis Wales, vice-presidente de operações de segurança do GitHub.

“O repositório GitHub contém software que inclui dependências npm maliciosas. Alguns temas de software usados ​​pelo agente da ameaça incluem reprodutores de mídia e ferramentas de negociação de criptomoedas.”

Funcionando como malware de primeiro estágio, esses pacotes npm baixam e executam malware de segundo estágio no dispositivo da vítima.

“Avaliamos com grande confiança que esta campanha está associada a um grupo que opera em apoio aos objetivos norte-coreanos, conhecido como Jade Sleet pela Microsoft Threat Intelligence e TraderTraitor pela US Cybersecurity and Infrastructure Security Agency (CISA)”, acrescentou Wales.

O GitHub também compartilhou os indicadores de comprometimento.

Hackers norte-coreanos brincando de fingir

Os hackers patrocinados pelo estado norte-coreano são bem conhecidos por seus esforços cibernéticos destinados a roubar criptomoedas para financiar o estado-nação relativamente isolado. Seus alvos variam de bancos nacionais a empresas de criptomoedas.

No ano passado, o Departamento de Estado dos EUA alertou sobre hackers norte-coreanos aproveitando a escassez mundial de habilidades para se infiltrar em empresas, candidatando-se a desenvolvimento de software e outros empregos de TI como freelancers.

Depois de obter acesso privilegiado como contratados, eles podem permitir invasões cibernéticas maliciosas por outros agentes de ameaças norte-coreanos.

ATUALIZAÇÃO (25 de julho de 2023, 06h40 ET):

A Madiant compartilhou indicadores de comprometimento relacionados à investigação em um dos clientes afetados da JumpCloud, bem como regras de detecção (YARA). Eles também compartilharam como um erro de OPSEc dos invasores os ajudou a atribuir o ataque a hackers norte-coreanos.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS