Gelişmiş yeteneklere sahip sofistike bir ulus-devlet düşmanı, bir mızraklı kimlik avı saldırısıyla Jumpcloud’a saldırdı.
JumpCloud, müşterilerin kullanıcıları, cihazları ve uygulamaları doğrulamak, yetkilendirmek ve yönetmek için kullandığı ABD merkezli sıfır güven dizin platformudur.
12 Temmuz’da JumpCloud, resmi sayfasında küçük bir müşteri grubunu hedef alan bilinmeyen tehdit aktörleri tarafından sistemlerinin ihlal edildiğini açıkladı.
Baş bilgi güvenliği sorumlusu BOB, uygun adımları attıklarını ve müşteriler açısından tehdidi hafiflettiklerini doğruladı.
Detaylı rapor:
27 Haziran 15:13 UTC’de ekip dahili orkestrasyon sistemlerinde anormal aktivite keşfetti.
Ekibin daha ayrıntılı analizi ve soruşturması, altyapılarının bir ay önce bir kimlik avı girişimi yoluyla yetkisiz erişimle işlendiğini ortaya çıkardı.
Tehdidin daha fazla etkisini ve potansiyel etkinliğini analiz etmek için tüm günlükleri araştırmak üzere hemen olay müdahale ekiplerini etkinleştirdiler.
Ancak müşteri tarafında herhangi bir etki görmedikleri için önlem olarak kimlik bilgilerini değiştirdiler ve altyapıyı yeniden oluşturdular.
Ek olarak, soruşturma planları ile kolluk kuvvetleri ekibiyle bağlantılıdırlar.
5 Temmuz 03:35 UTC’de, küçük bir müşteri grubunun etkilendiğini keşfettiklerinde sıfırladılar ve müşterileri için yeni API anahtarları oluşturdular.
Ayrıca, tehdidi gidermek ve APT’nin daha fazla faaliyetini azaltmak için etkilenen müşterilerle yakın bir şekilde çalıştılar.
Bu, Jumpcloud’un belirli müşterilerinin komut çerçevesine veri enjeksiyon yöntemiyle hedeflendiği hedefli bir saldırıdır.
Bob, “En güçlü savunma hattımız, ortamlarını bu tehdide karşı korumak için bilgi paylaşımı ve işbirliğidir” dedi.
Jumpcloud, resmi sayfasında keşfedilen IOC’lerin ayrıntılı bir listesini paylaştı. Bu tehdit hakkında bilgi paylaşmak için hükümet ve endüstri ortaklarıyla daha fazla çalışıyorlar.
uzlaşma göstergesi
SHA256:9151ff77b65eeacd5cdddd13c041db3ad9818fd2aebe05d8745227fac7e516b8
SHA1: 92480e506d51d920fcc1d4dba7206c3185317f61
MD5: 3a9c24c92c221658a8bf9ce61d758e1a
SHA256:4dc71b659c9277c7bb704392f8af5b6b2fbc9a66d3ad80d8cb4df0bd686f0e86
SHA1: cb0e71340f963f7f2f404a0431d82ac809d2b15d
MD5: b8724109e5473b4ca79a13c33b865e32