JumpCloud siber saldırısını izleyen araştırmacılar, spearphishing kampanyası gibi görünen ABD merkezli yazılım çözümleri şirketini tehlikeye atan siber suçlu grubunu belirlediler.
Mandiant’taki araştırmacılar, bu izinsiz girişlerin kökenini, kripto para dikeyinde faaliyet gösteren şirketleri hedefleme geçmişiyle tanınan, Kore Demokratik Halk Cumhuriyeti’ne (DPRK) bağlı bir aktör olan UNC4899’a bağladı.
Mandiant araştırma raporuna göre UNC4899 tarafından gerçekleştirilen JumpCloud siber saldırısı, müşterilerinin beşten azını ve toplamda 10’dan az cihazı etkiledi.
UNC4899 tarafından JumpCloud siber saldırısı
JumpCloud, diğer hizmetler arasında erişimin ve kullanıcı kimliğinin güvenliğini sağlayan bir hizmet platformu olarak bulut tabanlı bir dizindir.
Şirket, 27 Haziran 2023’te keşfedilen JumpCloud siber saldırısını doğruladı ve kullanıcıları bu konuda güncelliyor.
Şirket, 22 Haziran’da altyapısının belirli bir alanına yetkisiz erişime maruz kaldı.
Şirket blogunda, UNC4899 tarafından gerçekleştirilen JumpCloud siber saldırısı hakkında, daha sonra sınırlı sayıda müşteri için komutlar çerçevesinde olağandışı etkinlikler keşfedildi.
UNC4899 tarafından gerçekleştirilen JumpCloud siber saldırısının daha fazla zarar görmesini önlemek için aşağıdaki uyarılar yapılmıştır:
Kötü amaçlı IP adresleri arasında engellenmesi istenen şunlar vardı:
- 254.24.19
- 152.67.39
- 39.103.3
- 187.75.186
- 223.86.8
JumpCloud’a yönelik tedarik zinciri saldırısı nasıl gerçekleştirildi?
Mandiant, JumpCloud siber saldırısını UNC4899’a atfetmenin yanı sıra, bu hacker grubunun kripto para dolandırıcılığına odaklandığını da kaydetti.
Finansal amaçlı TraderTraitor grubu da dahil olmak üzere Kuzey Kore’den (DPRK) diğer hacker gruplarının da JumpCloud siber saldırısında parmağı olduğundan şüpheleniliyor.
Kötü amaçlı veri enjeksiyonu için bir JumpCloud aracısı aracılığıyla yürütülen bir Ruby betiği bulundu. /private/var/log/jcagent.log yolundaki JumpCloud aracı günlüğünde güvenlik ihlali kanıtı bulundu.
UNC4899 tarafından JumpCloud siber saldırısında hedeflenen sistemler, 13.3 veya 13.4.1 sürümlü dört OSX Ventura sistemiydi. Mandiant, Apple’ın XProtect Davranış Hizmeti ile ilgili yeni adli eserler buldu.
Yüklere bağlı İmza tanımlayıcıları, yani XPdb’deki exec_signing_id alanı, kötü amaçlı dosyalarda üç benzersiz imzaya yol açtı. Onlar –
- mac-555549440ea0d64e96bb34428e08cc8d948b40e7
- p-macos-55554944c2a6eb29a7bc3c73acdaa3e0a7a8d8c7
- güvenlikd-555549440fca1d2f1e613094b0c768d393f83d7f
Bilgisayar korsanlarının ortama erişim sağlamak için JumpCloud’dan yararlandığını belirten Mandiant blogunda, “Birden çok sistemde, kötü amaçlı yazılım için XPdb girişleri, JumpCloud aracısının ana sürecini içeriyordu;
FSEvents, diskte var olan yüklerin ve dosyaların kaldırılmasına ilişkin bilgiler verdi. Dosyaların oluşturulmasını, değiştirilmesini, izin değişikliklerini, yeniden adlandırılmasını ve silinmesini ayrıntılı olarak anlattı.
Blog ayrıca, “Kurban ortamındaki sistemlere ilk erişimi elde ettikten sonraki 24 saat içinde, tehdit aktörü ek arka kapılar konuşlandırdı ve plist’ler yoluyla kalıcılık sağladı” diye ekledi.
Ruby betiğinin ve ikinci aşama yüklerin adlandırma kuralı, siber suçluların kötü amaçlı dosyaların meşru dosyalar ve uygulamalar gibi görünmesini sağlamak için çaba sarf ettiğini açıkça ortaya koydu.
C2 sunucularından komut almak için bir arka kapı olan STRATOFEAR da bulundu. STRATOFEAR’ın her örneği, FULLHOUSE.DORED’un birinci aşama arka kapı olarak konuşlandırılmasını takip etti.
UNC4899 tarafından yapılan JumpCloud siber saldırısına karşı yürütülen soruşturmaların bir parçası olarak, VirusTotal’da da kontrol edilen VMProtect aracılığıyla korunan bir Windows DLL dahil olmak üzere çeşitli örnekler toplandı. DLL’nin STRATOFEAR’ın bir Windows sürümü olduğu tahmin ediliyor.
TIEDYE’nin ayrıca FULLHOUSE.DORED tarafından ikinci aşama bir arka kapı olarak konuşlandırılacağı tahmin ediliyor.
Araştırmacılar, TIEDYE’nin C++’ta bir arka kapı olan RABBITHUNT ile benzerlikleri olduğunu buldu.
UNC4899’un Amerika Birleşik Devletleri, Hong Kong, Güney Kore ve Singapur’daki fintech ve kripto para şirketlerinden C-Suite yöneticilerini hedef aldığı tahmin ediliyor.
Benzer bilgisayar korsanı grupları arasındaki bilgi paylaşımını ele alan blogda, “Kuzey Kore grupları arasındaki altyapının hedeflenmesi ve paylaşılmasındaki örtüşmeler, kripto para birimi alanında devam eden hedeflemeyi ve koordineli ilgiyi vurgulamaktadır.”