JumpCloud’un bir güvenlik olayından etkilenen müşterilerin API anahtarlarını sıfırlamasından bir haftadan biraz daha uzun bir süre sonra şirket, izinsiz girişin gelişmiş bir ulus-devlet aktörünün işi olduğunu söyledi.
JumpCloud’un bilgi güvenliği sorumlusu (CISO) Bob Phan, otopsi raporunda, saldırganın “küçük ve belirli bir müşteri grubunu hedeflemek için sistemlerimize yetkisiz erişim elde ettiğini” söyledi. “Tehdit aktörü tarafından kullanılan saldırı vektörü hafifletildi.”
ABD kurumsal yazılım firması, 27 Haziran 2023’te, saldırgan tarafından 22 Haziran’da başlatılan bir hedefli kimlik avı kampanyasına kadar izini sürdüğü dahili bir orkestrasyon sisteminde anormal etkinlik tespit ettiğini söyledi.
JumpCloud, kimlik bilgilerini döndürerek ve sistemlerini yeniden kurarak ağını korumak için güvenlik önlemleri aldığını söylese de, 5 Temmuz’da küçük bir müşteri grubu için komut çerçevesinde “olağandışı etkinlik” tespit etti ve bu da zorunlu rotasyona yol açtı. tüm yönetici API anahtarları. Etkilenen müşterilerin sayısı açıklanmadı.
Şirketin açıklamasına göre, ihlalin daha ayrıntılı analizi, “komutlar çerçevesine veri enjeksiyonu” olarak tanımladığı saldırı vektörünü ortaya çıkardı. Ayrıca saldırıların yüksek oranda hedefli olduğunu söyledi.
Ancak JumpCloud, Haziran ayında tespit ettiği kimlik avı saldırısının veri enjeksiyonuyla nasıl bağlantılı olduğunu açıklamadı. Kimlik avı e-postalarının, saldırıyı kolaylaştıran kötü amaçlı yazılımların yayılmasına yol açıp açmadığı şu anda net değil.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Saldırıyla ilişkili ek güvenlik ihlali göstergeleri (IoC’ler), saldırganın nomadpkg adlı etki alanlarından yararlandığını gösteriyor[.]com ve nomadpkgs[.]com, kapsayıcıları dağıtmak ve yönetmek için kullanılan Go tabanlı iş yükü düzenleyicisine olası bir referans.
Phan, “Bunlar, gelişmiş yeteneklere sahip sofistike ve ısrarcı düşmanlar” dedi. JumpCloud, olaydan sorumlu olduğu iddia edilen grubun adını ve kökenini henüz açıklamadı.